Aller au contenu principal
iokoo
Créer un compte
Blog

Comment reconnaître un email de phishing en TPE, et quoi faire.

Les emails frauduleux ciblent aussi les petites entreprises. Apprenez à repérer les signaux d'alerte et à réagir correctement en quelques étapes simples.

Publié le 15 juin 2026

Le phishing, ou hameçonnage, est la cyberattaque la plus répandue en France. Elle ne vise pas seulement les grandes entreprises. Les TPE sont des cibles fréquentes précisément parce qu’elles ont rarement un service informatique dédié. Un seul clic au mauvais moment peut bloquer votre activité ou compromettre vos données clients.

Voici comment reconnaître ces emails et comment réagir, sans être expert.

Quels sont les signaux d’alerte dans un email suspect ?

Apprenez à observer ces éléments avant d’agir sur un email :

L’expéditeur

  • L’adresse email ressemble à une adresse connue mais comporte une légère différence : contact@orange-pro.net au lieu de @orange.fr, par exemple.
  • Le nom affiché est celui d’un collègue ou d’un prestataire, mais l’adresse réelle (visible en passant la souris sur le nom) est inconnue.

Le ton et le contenu

  • L’email crée une urgence : “Votre compte sera bloqué dans 24 h”, “Règlement en attente depuis 3 jours”.
  • Il demande une action inhabituelle : un virement, des identifiants, une validation rapide.
  • Il contient des fautes d’orthographe ou une formulation maladroite.

Les pièces jointes et les liens

  • Une pièce jointe au format .exe, .zip ou même .pdf non attendue.
  • Un lien dont le texte affiché ne correspond pas à l’adresse réelle.

Comment vérifier un lien sans cliquer dessus ?

Ne cliquez jamais directement sur un lien suspect. Voici comment en vérifier la destination :

  1. Sur ordinateur : passez simplement la souris sur le lien sans cliquer. L’adresse réelle s’affiche en bas de votre navigateur ou de votre logiciel de messagerie.
  2. Comparez l’adresse affichée avec le nom de l’entreprise supposée. Un email de “La Poste” qui pointe vers laposte-securite.ru est un piège.
  3. En cas de doute, copiez l’adresse et collez-la dans un outil comme VirusTotal (virustotal.com) pour l’analyser avant d’y accéder.

Que faire si vous avez cliqué ou saisi un mot de passe ?

Si vous pensez avoir cliqué sur un lien frauduleux ou renseigné vos identifiants sur un faux site :

  1. Déconnectez immédiatement l’appareil d’internet (câble ou Wi-Fi).
  2. Changez votre mot de passe depuis un autre appareil (votre téléphone, par exemple), en commençant par votre messagerie professionnelle.
  3. Prévenez votre responsable ou associé sans délai.
  4. Contactez un technicien pour analyser l’appareil avant de le reconnecter.
  5. Ne redémarrez pas le PC concerné avant d’avoir eu un avis professionnel : cela peut effacer des traces utiles à l’analyse.

Si des données clients ont pu être compromises, vous avez une obligation de signalement à la CNIL dans les 72 heures.

Comment réagir en équipe face à un email douteux ?

La protection contre le phishing est une affaire collective. Quelques règles simples à mettre en place :

  • Créez un canal ou une adresse email interne où chacun peut signaler un email suspect (par exemple : securite@votreentreprise.fr).
  • Posez la règle suivante : “En cas de doute, on vérifie avant de cliquer.” Un appel téléphonique à l’expéditeur supposé suffit souvent à confirmer ou infirmer.
  • Ne critiquez jamais quelqu’un qui signale un doute : mieux vaut dix fausses alertes qu’un incident réel.

Comment prévenir les attaques de phishing ?

Quelques mesures concrètes pour réduire les risques :

  • Activez la double authentification (MFA) sur votre messagerie et vos outils en ligne. Même si un pirate obtient votre mot de passe, il ne peut pas se connecter sans le second facteur.
  • Gardez vos logiciels à jour : les mises à jour corrigent les failles que les pirates exploitent.
  • Formez votre équipe : une session de 30 minutes par an sur les signaux d’alerte réduit considérablement le risque.
  • Utilisez un filtre anti-spam de qualité sur votre messagerie professionnelle (Microsoft 365 et Google Workspace en intègrent un).

Si vous avez un doute sur un email reçu ou si un incident a déjà eu lieu, nos experts iokoo peuvent intervenir rapidement. Créez un compte pour poser votre question, consultez notre pool d’experts spécialisés en cybersécurité, ou prenez contact via notre page contact.

Questions fréquentes

Que faire si j'ai cliqué sur un lien suspect dans un email ?

Déconnectez immédiatement le PC d'internet (débranchez le câble ou désactivez le Wi-Fi), changez vos mots de passe depuis un autre appareil, et contactez un technicien. Ne redémarrez pas le PC avant d'avoir eu un avis professionnel.

Un email peut-il être dangereux même s'il vient d'une adresse connue ?

Oui. Les pirates peuvent usurper l'adresse d'un collègue ou d'un fournisseur. Si un email connu vous demande quelque chose d'inhabituel (virement, mot de passe, accès urgent), vérifiez par téléphone avant d'agir.

Comment protéger toute mon équipe contre le phishing ?

Organisez une courte session de sensibilisation, partagez une liste des signaux d'alerte, et mettez en place une règle simple : en cas de doute, on demande avant de cliquer. La vigilance collective est le meilleur bouclier.

Prêt à reprendre la main sur votre informatique ?

Créer un compte Parler à un expert