Le phishing fait des ravages en France : voici trois bonnes pratiques pour protéger votre PME
Sommaire :
Le phishing fait des ravages en France : voici trois bonnes pratiques pour protéger votre PME
Phishing : de quoi parle-t-on, exactement ?
Trois scénarios types de phishing pour une PME
L’état des lieux du Phishing en France : une hécatombe
Trois bonnes pratiques pour protéger votre PME du phishing
Avec DFM, protégez votre PME contre le phishing
Suggestions d'articles
Le phishing fait des ravages en France : voici trois bonnes pratiques pour protéger votre PME
Le phishing est la cybermenace la plus redoutable pour les PME françaises car elle exploite la seule faille qu'aucun antivirus ne peut colmater : l'humain. Un simple clic d'un collaborateur sur un email frauduleux peut vider votre trésorerie, exposer les données de vos clients ou paralyser votre activité.
En 2023, 30 % des entreprises françaises en ont fait l'amère expérience. Voici comment vous protéger.
Phishing : de quoi parle-t-on, exactement ?
Le phishing, ou hameçonnage en français, est une technique de cybercriminalité qui consiste à manipuler psychologiquement des individus, en l’occurrence ici des salariés, pour leur soutirer des informations sensibles.
Concrètement, le pirate informatique envoie un email en se faisant passer pour un tiers de confiance de l’entreprise : votre banque, l’administration fiscale, votre fournisseur d'énergie ou même un de vos collaborateurs.
La force du phishing repose sur son apparente légitimité. Les emails sont envoyés à la victime à partir d’une adresse très proche de celle du tiers. Le corps de l’email reproduit l'identité visuelle des organismes usurpés : logos, signatures, mise en page… Tout est fait pour mettre en confiance la victime. Le scénario invoqué est souvent urgent et stressant : compte bancaire bloqué, facture impayée, colis en attente, nécessité de changer un mot de passe compromis, etc.
L'objectif final est d'inciter la cible à cliquer sur un lien malveillant ou à télécharger une pièce jointe infectée. Une fois cette première étape franchie, les cybercriminels peuvent voler des identifiants de connexion, des coordonnées bancaires ou installer des logiciels malveillants sur le système d'information de l'entreprise.
Le phishing exploite donc la faille humaine plutôt que technique. Un seul clic d’un de vos collaborateurs peut compromettre toute la cybersécurité de votre PME, avec les conséquences habituelles d’une attaque informatique (coût, confiance des clients, RGPD, image, etc.).
Trois scénarios types de phishing pour une PME
1. L’ordre de virement urgent : un classique
Un comptable reçoit un email apparemment envoyé par son directeur financier (DAF). L’objet est alarmant : « Virement urgent pour le fournisseur X ».
Dans cet email, le DAF explique être en pleine réunion (avec un enjeu majeur) et demande à ne pas être dérangé. Il demande de transférer impérativement 9 800 € à tel nouveau fournisseur. L’adresse email semble correcte à première vue, mais un détail subtil trahit la fraude :
- Ce n’est pas jean.martin@entreprise-sarl.fr qui envoie l’email…
- Mais plutôt jean.martin@entreprise-sar1.fr.
Le piège repose sur la pression psychologique et la crédibilité apparente de l’email. Une fois le virement effectué (sur le RIB du pirate informatique), il est quasiment impossible de récupérer les fonds, car ils transitent généralement par des comptes basés à l’étranger.
2. L’arnaque au faux fournisseur
Votre comptable reçoit un email d’un fournisseur habituel (victime d’une usurpation d’identité). Le message annonce un changement de RIB pour les prochains paiements et joint un PDF avec les nouvelles coordonnées bancaires. La mise en page est irréprochable : logo officiel, signature de la banque… tout semble légitime.
En réalité, l’email est envoyé par des escrocs qui ont :
- Piraté les identifiants de la messagerie du fournisseur ;
- Ou qui envoient leur email d’une adresse email très proche de celle du fournisseur (facturation@fourniseur.com au lieu de facturation@fournisseur.com, par exemple).
Si vous ne vérifiez pas cette demande de changement de RIB auprès du fournisseur par téléphone ou via un autre canal, les paiements à venir arriveront directement sur le compte frauduleux.
En règle générale, vous ne vous rendrez compte de l’arnaque que lorsque le « vrai » fournisseur se plaindra d’un retard de paiement. Et là, c’est la double sentence : vous allez devoir le payer, en plus du montant subtilisé par les escrocs.
3. Le faux accès sécurisé à vos outils professionnels
Un salarié reçoit un email soi-disant envoyé par l’éditeur d’un outil (comme votre ERP, CRM ou messagerie professionnelle). L’objet est alarmant : « Votre accès expire bientôt, réactivez-le maintenant ».
Le message est toujours crédible : logo officiel, mise en page soignée, signature familière. Le lien dans l’email renvoie vers une page identique à l’interface de connexion habituelle. Pensant agir pour sécuriser son compte, l’utilisateur saisit ses identifiants. Mais ces informations sont immédiatement collectées par les pirates.
Avec ces identifiants, les attaquants peuvent :
- Récupérer des données sensibles comme des fichiers clients ou des contrats, qui serviront à préparer d’autres attaques ciblées et à négocier des rançons, ou qui seront revendues dans le dark web ;
- Envoyer des emails frauduleux en usurpant l’identité de vos collaborateurs. Objectif : tromper vos partenaires ou clients, par exemple en demandant le paiement des factures sur un nouveau RIB ;
- Propager des malwares sur le réseau. Les pirates peuvent bloquer l’accès à vos données critiques, ce qui paralyse vos opérations et vous force à payer une rançon pour retrouver vos fichiers ou éviter leur divulgation.
Ces attaques touchent directement votre trésorerie et mettent en péril vos relations professionnelles, en plus d’exposer votre PME à des poursuites pour non-conformité RGPD si des données clients sont compromises.
L’état des lieux du Phishing en France : une hécatombe
Selon le 9e baromètre de la cybersécurité des entreprises (CESIN/OpinionWay 2024), le phishing (hameçonnage classique par email), le spear phishing (attaque ciblée sur une personne précise) et le smishing (hameçonnage par SMS) représentent 60 % des cyberattaques visant les entreprises françaises.
Ces techniques devancent l'exploitation des failles informatiques (43 %) et les attaques en déni de service (34 %).
Mais le chiffre le plus préoccupant concerne l'ampleur du phénomène : 30 % de l’ensemble des entreprises françaises (TPE, PME et grands groupes) ont subi au moins une attaque par phishing en 2023. Une proportion inédite dans l’histoire de la cybercriminalité en France.
Dans le même sens, le programme Action contre la cybermalveillance, mis en œuvre par l’État, montre l’intérêt des professionnels et des particuliers pour la protection contre ce type de cyberattaque :
- En 2023, les contenus liés au phishing ont été consultés près de 1.5 million de fois en France ;
- Plus de 50 000 professionnels et particuliers ont dû solliciter une assistance directe après avoir été victimes de ces attaques.

Trois bonnes pratiques pour protéger votre PME du phishing
1. L'authentification forte (2FA) sur TOUS vos outils critiques
L'authentification forte (ou 2FA pour « Two-Factor Authentication ») est un système de sécurité qui impose à l’utilisateur de fournir deux preuves d’identité différentes pour accéder à son compte.
En plus du traditionnel mot de passe, l'utilisateur doit fournir un second élément qu'il est le seul à posséder : généralement un code temporaire reçu sur son téléphone.
Et c'est votre meilleure protection contre le phishing : même si un pirate récupère les identifiants d'un collaborateur, il ne pourra pas accéder à ses comptes sans le second facteur d'authentification. Concrètement :
- Activez la 2FA sur tous vos outils critiques : messagerie, CRM, plateforme bancaire, réseaux sociaux, outils cloud ;
- Privilégiez l'authentification par application mobile (Microsoft Authenticator, Google Authenticator) plutôt que par SMS ;
- Rendez la 2FA obligatoire pour tous les collaborateurs, sans exception.
💡 Le chiffre DFM |
Une étude a révélé que la mise en place de la 2FA diminue le risque de compromission de la messagerie professionnelle de 99.9 % pour les comptes commerciaux. Selon Google, la 2FA bloque 100 % des attaques automatisées par bots. |
2. La vérification systématique via un second canal de toute demande suspecte
La vérification en double canal vous protège (notamment) des arnaques au faux fournisseur : si vous recevez un email d’un de vos fournisseurs vous demandant de modifier le RIB sur lequel vous envoyez vos virements, confirmez impérativement cette demande par un autre moyen de communication (en appelant le fournisseur par exemple).
Cette pratique va neutraliser la principale force du phishing : l'usurpation d'identité de vos fournisseurs par email. Si un cybercriminel demande de changer un RIB par email en se faisant passer pour un de vos fournisseurs, il ne pourra pas confirmer cette demande par téléphone.
Quelques conseils :
- Utilisez uniquement le numéro que vous avez dans vos fichiers, jamais celui indiqué dans l'email ;
- Appliquez cette règle sans exception, même si l'email semble très urgent (l’urgence est un facteur qui doit vous faire douter des intentions de l’émetteur) ;
- Formalisez cette procédure par écrit et faites-la appliquer par tous les services comptables et financiers.
3. Des simulations de phishing pour vos collaborateurs
Le test de phishing consiste à envoyer un faux email malveillant à vos collaborateurs pour les aider à détecter les vraies attaques. Concrètement :
- Faites appel à un prestataire comme DFM pour mettre en place ces tests dans un environnement contrôlé ;
- Programmez un test tous les trimestres (minimum) pour créer des réflexes durables ;
- Demandez différents scénarios pour habituer vos équipes à tous les types d'attaques : fausse alerte Microsoft/Google sur un compte bloqué, fausse demande de virement urgent de la direction, faux message du service informatique demandant de changer son mot de passe, arnaque au faux fournisseur, etc.
Après chaque test, les collaborateurs qui ont cliqué doivent recevoir une explication sur les indices qui auraient dû les alerter. Un rapport vous indiquera le taux de clics et les services les plus vulnérables.
💡 Conseil pratique |
Commencez par des tentatives évidentes puis augmentez progressivement la difficulté. L'objectif n'est pas de piéger vos équipes mais de les former. |
Avec DFM, protégez votre PME contre le phishing
Vos collaborateurs sont déjà tombés dans le piège d’un email frauduleux ? Votre PME a déjà fait les frais d’une cyberattaque ? Ou peut-être souhaitez-vous muscler votre cybersécurité pour ne pas faire partie des 50 % des entreprises françaises qui ont subi une cyberattaque l’année dernière ?
Fort de plus de 20 ans d'expérience dans la cybersécurité, DFM audite votre infrastructure informatique et élabore avec vous une stratégie de cybersécurité à 360°. Notre objectif : vous donner les moyens d’exercer votre activité dans un environnement sécurisé.