91% des cyberattaques commencent par un email. Voici les 7 menaces que votre entreprise doit connaître — et comment les neutraliser une par une.
Un email de votre « banque » qui demande une vérification urgente. Un SMS de livraison avec un lien suspect. Un appel du « support informatique » qui veut votre mot de passe.
Ce n'est pas de la science-fiction. C'est le quotidien des PME françaises en 2026. Et ça marche : 1 employé sur 3 clique sur un lien de phishing la première fois qu'il en reçoit un. La bonne nouvelle ? Chaque type de phishing a une parade spécifique. Voici les 7 que votre entreprise doit connaître.
⚠️ Le chiffre qui fait mal : Le coût moyen d'une attaque par phishing pour une PME française est de 38 000 € en 2026 (source : ANSSI). Ce n'est pas le rançongiciel qui coûte cher — c'est l'arrêt d'activité, la perte de clients et la reconstruction.
Un email générique envoyé à des milliers d'adresses. Il imite une marque connue (La Poste, Amazon, Ameli, votre banque) et vous demande de « mettre à jour vos informations » ou de « débloquer votre compte ».
Exemple réel 2026 : « Votre colis n'a pas pu être livré. Veuillez régler 1,90 € de frais de réexpédition. » Le lien mène vers une copie parfaite du site de La Poste.
Contrairement au phishing de masse, le spear phishing vous cible nominativement. L'attaquant a fait ses devoirs : il connaît votre poste, le nom de votre patron, vos fournisseurs. L'email semble provenir d'un collègue ou d'un partenaire.
Exemple réel 2026 : « Bonjour Sophie, peux-tu régler cette facture fournisseur avant 16h ? Le comptable est en congé. Merci — Marc » (Marc est le vrai nom du dirigeant, trouvé sur LinkedIn).
Une variante du spear phishing qui vise exclusivement les cadres dirigeants. L'email imite une convocation judiciaire, une mise en demeure, ou une demande urgente du conseil d'administration. Le stress fait le reste.
Exemple réel : un faux email de la CNIL informant le dirigeant d'une « procédure de contrôle imminente » avec un PDF malveillant en pièce jointe.
Le phishing passe par SMS. Fausse amende, faux avis de passage, faux support Ameli... Les Français y sont 2 fois plus vulnérables qu'aux emails car on fait davantage confiance aux SMS.
Exemple : « Amende impayée — Dossier ANTAI-2026-78412. Réglez maintenant pour éviter la majoration : https://amende-gouv-fr.info »
L'attaquant appelle en se faisant passer pour le support Microsoft, le service informatique interne, ou votre banquier. Avec l'IA vocale en 2026, les deepfakes vocaux sont désormais indétectables à l'oreille.
Scénario 2026 : un commercial reçoit un appel du « DG » (voix clonée via un extrait LinkedIn) lui demandant de transférer un document confidentiel « pour le closing de ce soir ».
L'attaquant intercepte un email légitime que vous avez déjà reçu (facture, confirmation de commande), le copie à l'identique, puis remplace le lien ou la pièce jointe par une version piégée. Il renvoie le tout avec un message : « Désolé, le lien était cassé, voici la bonne version. »
Vous faites confiance parce que vous attendiez cet email. C'est tout le piège.
Un QR code malveillant remplace un QR code légitime : sur une affiche, un menu de restaurant, un courrier, ou même dans un email. Scannez-le et vous atterrissez sur un site de phishing sans voir l'URL avant.
En entreprise, le quishing explose avec les faux QR codes de connexion Wi-Fi et les fausses factures papier avec QR code de paiement.
| Type | Vecteur | Cible | Dangerosité | Parade n°1 |
|---|---|---|---|---|
| Phishing classique | Email de masse | Tous les employés | ★★★☆☆ | Vérifier l'expéditeur |
| Spear phishing | Email personnalisé | Employés ciblés | ★★★★★ | Double canal (appel) |
| Whaling | Email usurpation | Dirigeants | ★★★★★ | Procédure écrite |
| Smishing | SMS | Tous les employés | ★★★★☆ | Ne pas cliquer |
| Vishing | Appel vocal | Employés / DG | ★★★★☆ | Mot de passe oral |
| Clone phishing | Email détourné | Clients / Employés | ★★★★☆ | Gestionnaire MDP |
| Quishing | QR code | Clients / Employés | ★★★☆☆ | Aperçu URL avant ouverture |
Connaître les menaces, c'est 50% du travail. Voici les 3 actions qui protègent concrètement :
Une formation de 30 minutes réduit le taux de clics sur les emails de phishing de 33% à 5%. Refaites-la tous les 6 mois — les techniques évoluent. Consultez notre guide complet de formation cybersécurité.
Vos employés doivent savoir exactement quoi faire quand ils repèrent un email suspect : transférer à une adresse dédiée (ex : securite@votreentreprise.fr), ne pas supprimer le message, ne pas répondre.
🛡️ Une politique claire vaut mieux que 10 logiciels. Si vos employés savent qu'ils ne seront jamais punis pour avoir signalé un email suspect (même s'ils ont cliqué), vous venez d'éliminer le premier facteur de risque : la peur de signaler.
Une plateforme de communication sécurisée pour votre équipe réduit drastiquement la surface d'attaque du phishing. Centralisez emails, tunnels de vente et formations dans un seul outil.
🔗 Essayer Systeme.io gratuitementPlan gratuit disponible · Jusqu'à 2000 contacts
🚀 Recommandé : Systeme.io — la plateforme tout-en-un pour votre business. 60% de réduction permanente.
🔗 Essayer Systeme.io gratuitement →