Skip to content
Retour au blog
email bonnes-pratiques cybersécurité formation phishing

Bonnes pratiques email en entreprise : le guide

Guide pratique pour tous les collaborateurs : comment vérifier l'expéditeur d'un email, reconnaître un faux email et adopter les bons réflexes au quotidien.

Thomas Ferreira 16 min de lecture

En 2025, le phishing — l’email frauduleux conçu pour vous tromper — est impliqué dans 36 % des violations de données en entreprise (Verizon DBIR 2024). Ce n’est pas la faille technique la plus complexe. C’est souvent la plus simple : un clic sur le mauvais lien, une pièce jointe ouverte trop vite, un virement validé sans vérifier.

Ce guide n’est pas destiné aux experts en cybersécurité. Il est fait pour tous les collaborateurs d’une PME : la comptable, le commercial, le manager, la responsable RH. Concrètement, que faire avant de cliquer, comment repérer un email douteux, et que faire quand on a un doute.

Vous pouvez l’imprimer, l’afficher dans la salle de pause, ou l’envoyer à toute l’équipe.

Pourquoi l’email reste le terrain de jeu préféré des escrocs

L’email a un défaut de conception : n’importe qui peut envoyer un message en se faisant passer pour n’importe qui. Votre banque, votre directeur, votre fournisseur habituel — le nom affiché ne garantit rien. Ce que vous voyez dans le champ « De : » peut être inventé de toutes pièces.

Les attaquants le savent. C’est pourquoi, selon le rapport Verizon DBIR 2024, le phishing reste le vecteur d’entrée initial dans plus d’un tiers des cyberattaques documentées. Et les données de simulation montrent qu’environ un tiers des employés non formés cliquent sur un lien malveillant lors de leur première exposition (KnowBe4, Phishing by Industry Benchmarking Report 2024).

La bonne nouvelle : les réflexes qui permettent de déjouer ces attaques s’acquièrent vite. Il ne s’agit pas de devenir un expert technique, mais d’appliquer quelques vérifications simples avant d’agir.

Les 5 vérifications avant de cliquer

Cette checklist s’applique à tout email qui vous demande de faire quelque chose : cliquer sur un lien, ouvrir une pièce jointe, répondre avec des informations, ou effectuer un paiement.

1. Vérifier l’expéditeur réel

Le nom affiché dans votre messagerie ne suffit pas. Un email peut afficher « Service client Orange » tout en provenant de xz4b@srv-mail.ru. Pour voir l’adresse réelle :

  • Dans Gmail : cliquez sur le nom de l’expéditeur affiché, une petite fenêtre révèle l’adresse email complète.
  • Dans Outlook : survolez le nom de l’expéditeur ou cliquez dessus pour afficher l’adresse.

Regardez le domaine — la partie après le @. Un email venant de comptabilite@acme.fr est différent de comptabilite@acme-finance.com ou acme@notifications-securite.net. Les attaquants choisissent des domaines qui ressemblent à l’original pour passer inaperçus à une lecture rapide.

Règle simple : si vous ne reconnaissez pas le domaine après le @, ne cliquez sur rien.

2. Analyser l’objet et le ton

Les emails frauduleux jouent sur des ressorts psychologiques précis. Repérez-les :

  • L’urgence artificielle : « Votre compte sera suspendu dans 24h », « Action requise immédiatement », « Dernier avertissement ». Les vrais services n’envoient jamais ce type d’ultimatum par email.
  • La menace : « Une transaction suspecte a été détectée sur votre compte », « Vous risquez une pénalité si vous n’agissez pas ».
  • L’appât : « Vous êtes éligible à un remboursement de 487 € », « Vous avez été sélectionné pour… ».
  • La demande inhabituelle : votre PDG qui vous demande d’acheter des cartes cadeaux iTunes en urgence, votre fournisseur qui change de RIB à la dernière minute.

Si l’objet ou le ton de l’email vous met sous pression ou vous surprend, ralentissez. C’est exactement ce que l’attaquant cherche à éviter.

3. Inspecter les liens avant de cliquer

Ne cliquez jamais directement sur un lien dans un email suspect. Survolez-le d’abord (passez la souris dessus sans cliquer) : l’URL de destination s’affiche en bas de votre écran ou de votre navigateur.

Ce que vous cherchez : le domaine réel du lien, c’est-à-dire la partie juste avant l’extension (.fr, .com, .gouv.fr).

Ce que vous voyez dans l’emailURL affichée au survolVerdict
Cliquez ici pour accéder à votre espacehttps://impots.gouv.fr/...OK — domaine officiel
Cliquez ici pour accéder à votre espacehttps://impots-gouv-fr.verification-paiement.com/...FRAUDE — domaine inconnu
Réinitialisez votre mot de passe Microsofthttps://microsft-365-login.com/...FRAUDE — faute dans le domaine

Règle simple : si l’URL au survol ne correspond pas au site attendu, ne cliquez pas.

4. Traiter toute pièce jointe non attendue comme suspecte

Une pièce jointe que vous n’attendiez pas est une pièce jointe suspecte — même si elle semble provenir d’un collègue ou d’un fournisseur habituel. Les comptes email compromis servent régulièrement à propager des logiciels malveillants via des documents d’apparence normale.

Les formats particulièrement à risque :

  • Fichiers exécutables : .exe, .bat, .scr
  • Archives : .zip, .rar, .iso
  • Documents Office demandant d’activer des macros : .docm, .xlsm
  • Fichiers PDF avec des liens ou formulaires embarqués

Règle simple : si vous n’attendiez pas ce document, appelez l’expéditeur avant de l’ouvrir. Deux minutes d’appel valent mieux qu’une semaine de remédiation informatique.

5. Se demander si la demande est normale

Avant d’exécuter ce que l’email vous demande, posez-vous une question : est-ce que cette personne ou cette organisation me demanderait vraiment ça, de cette façon ?

  • Votre service des impôts envoie-t-il des liens de paiement par email ? Non.
  • Votre DG vous demande-t-il de faire un virement confidentiel sans passer par les procédures habituelles ? Normalement non.
  • Votre fournisseur habituel vous demande-t-il de changer son RIB par simple email sans appel de confirmation ? Ce n’est pas la procédure standard.

Le doute est votre allié. Une vérification rapide par téléphone coûte deux minutes. Un virement frauduleux peut coûter des centaines de milliers d’euros.

Comment vérifier un expéditeur suspect en pratique

Voici la procédure détaillée pour les deux messageries les plus répandues en entreprise.

Dans Gmail

  1. Ouvrez l’email suspect
  2. Cliquez sur le nom de l’expéditeur affiché en haut du message — une bulle s’affiche avec l’adresse email complète
  3. Pour aller plus loin : cliquez sur les trois points verticaux (⋮) en haut à droite du message, puis sur « Afficher l’original »
  4. La page qui s’ouvre affiche les en-têtes complets avec les résultats SPF, DKIM et DMARC — si vous voyez « FAIL » sur l’un de ces résultats, l’email n’est pas authentique

Dans Outlook (version bureau)

  1. Ouvrez l’email dans une fenêtre séparée (double-clic)
  2. Cliquez sur l’onglet Fichier, puis sur Propriétés
  3. Faites défiler jusqu’au champ « En-têtes Internet » — vous y trouvez l’adresse expéditrice réelle et les résultats d’authentification

Dans Outlook (version web)

  1. Ouvrez l’email
  2. Cliquez sur les trois points en haut du message
  3. Sélectionnez Afficher → Afficher la source du message

Pour une analyse complète des en-têtes email et comprendre ce qu’ils révèlent, consultez notre guide détaillé : Comment tracer l’origine d’un email suspect grâce aux en-têtes.

Un exemple concret

Vous recevez cet email :

De : Direction des Ressources Humaines Objet : Mise à jour de vos coordonnées bancaires pour la paie de mars Message : Suite à la migration de notre logiciel de paie, merci de confirmer vos coordonnées bancaires en cliquant ici avant vendredi 18h.

Que vérifiez-vous ?

  1. Cliquez sur « Direction des Ressources Humaines » : l’adresse affichée est rh-service@paie-employes-verification.com au lieu de rh@votre-entreprise.fr → signal d’alerte immédiat
  2. Survolez le lien « en cliquant ici » : l’URL pointe vers form-rib-update.net/confirm → domaine inconnu
  3. La demande est inhabituellement urgente et passe par un formulaire externe plutôt que par le logiciel de paie interne

Résultat : vous ne cliquez pas. Vous appelez directement la RH sur le numéro interne pour vérifier. Deux minutes plus tard, vous confirmez que personne n’a envoyé cet email.

Les signaux d’alerte : tableau de référence

SignalCe que ça ressemblePourquoi c’est suspect
Adresse expéditrice sosierh@mon-entreprise-rh.com au lieu de rh@mon-entreprise.comLe domaine usurpe visuellement l’original
Urgence artificielle« Agissez avant 18h sinon fermeture du compte »Pression temporelle pour empêcher la vérification
Demande de données sensibles« Confirmez votre mot de passe » ou « Renseignez votre IBAN »Aucun service légitime ne demande ça par email
Lien incohérentLe texte dit « Microsoft » mais le lien pointe vers microsft.netTyposquatting, domaine sosie
Pièce jointe non attendueFacture.zip ou Contrat_signe.exe d’un inconnuVecteur classique de logiciels malveillants
Ton inhabituelVotre collègue écrit rarement ainsi, style formel brusqueCompte compromis ou usurpé
Demande de confidentialité« N’en parlez à personne, c’est confidentiel »Isole la cible pour empêcher la vérification
Fautes ou mise en page approximativeLogo flou, accents absents, mise en page désalignéeSouvent signe d’une tentative amateur

Que faire en cas de doute

La règle d’or : ne pas cliquer, ne pas répondre, ne pas transférer.

Voici la procédure à suivre :

Étape 1 — Ne rien faire dans l’email N’ouvrez pas les pièces jointes. Ne cliquez sur aucun lien, même pour « vérifier ». Ne répondez pas à l’email, même pour demander une confirmation à l’expéditeur supposé (votre réponse confirmerait à l’attaquant que l’adresse est active).

Étape 2 — Vérifier par un autre canal Si l’email prétend venir d’un collègue, d’un fournisseur ou d’une administration : appelez-les directement sur un numéro que vous avez déjà (carnet d’adresses, annuaire interne, site officiel). Ne rappellez jamais le numéro indiqué dans l’email suspect.

Étape 3 — Signaler Transférez l’email à votre service informatique. La plupart des entreprises ont une adresse de signalement prévue à cet effet (souvent securite@votre-entreprise.fr ou it@votre-entreprise.fr). Si vous êtes seul à gérer votre sécurité, signalez sur signal-spam.fr — la plateforme française de signalement des spams et tentatives de phishing.

Étape 4 — Si vous avez déjà cliqué Prévenez immédiatement votre service IT. Si vous avez saisi des identifiants, changez votre mot de passe depuis un autre appareil (ou navigateur en navigation privée) sans délai. Si des données bancaires ont été entrées, appelez votre banque. Ne supprimez pas l’email : il servira à l’analyse de l’incident.

Les pièges les plus courants en entreprise

Certains scénarios reviennent régulièrement dans les PME françaises. Les reconnaître, c’est déjà s’en protéger à moitié.

La fausse facture fournisseur

Un email semblant venir d’un fournisseur habituel transmet une facture avec de nouvelles coordonnées bancaires. Le logo est correct. Le style est familier. Mais le domaine expéditeur est légèrement différent de l’original (acme-factures.com au lieu de acme.fr).

C’est l’arnaque au changement de RIB, l’une des fraudes les plus répandues en France. Pour comprendre comment elle fonctionne et comment s’en protéger : Arnaque au changement de RIB : anatomie d’une fraude.

Le faux email RH (fiche de paie, mutuelle, congés)

Un email prétend venir du service RH et demande de « mettre à jour vos coordonnées bancaires pour la paie » ou de « confirmer votre bénéficiaire mutuelle en cliquant ici ». Ces emails ciblent tous les salariés et exploitent la confiance naturelle envers les RH. Un tel email mérite systématiquement une vérification par appel interne, surtout s’il vous demande de renseigner des données personnelles ou bancaires.

Pour les scénarios de fraude ciblant spécifiquement les RH : Fraude à la paie et phishing du service RH.

La fausse réinitialisation de mot de passe IT

Un email de votre « service informatique » vous informe que votre mot de passe arrive à expiration et doit être renouvelé « sous 24h ». Le lien pointe vers une fausse page de connexion qui ressemble à votre portail habituel.

Votre vrai service informatique ne demande jamais votre mot de passe actuel par email. Il ne vous envoie jamais de lien de connexion non sollicité avec une pression temporelle. Si vous recevez ce type d’email, appelez le support IT directement.

La fausse notification de livraison

Un SMS ou un email de Colissimo, DHL ou Amazon annonce un problème de livraison. Un lien vous invite à « confirmer votre adresse » ou « payer des frais de douane ». Ces campagnes sont massives en France. La règle : rendez-vous directement sur le site du transporteur en tapant l’adresse dans votre navigateur. Ne passez jamais par le lien dans le message.

La fraude au président

Un email semble venir du PDG ou d’un membre de la direction. Il demande un virement urgent et confidentiel, souvent en invoquant une acquisition, une négociation en cours, ou une urgence qui ne peut passer par les canaux habituels. La pression hiérarchique et le caractère « secret » de la demande inhibent les réflexes de vérification.

Résultat typique : des centaines de milliers d’euros virés vers un compte frauduleux. Pour les cas documentés en France : Fraude au président : les cas les plus coûteux en France.

Les faux emails des impôts

La DGFiP (Direction Générale des Finances Publiques) est l’une des institutions les plus usurpées en France selon les données Cybermalveillance.gouv.fr. Faux remboursements, fausses relances CFE, faux avis de vérification — ces emails ciblent particulièrement les comptables et dirigeants. Pour les reconnaître : Les faux emails impots.gouv : comment les reconnaître.

La sécurité email de votre domaine : ce que les non-techniciens doivent savoir

Votre entreprise a un domaine email (votre-entreprise.fr). Ce domaine peut être usurpé par des attaquants pour envoyer des emails en votre nom à vos clients ou partenaires — sans que vous le sachiez. Trois protocoles techniques protègent votre domaine contre cette usurpation :

  • SPF déclare les serveurs autorisés à envoyer des emails depuis votre domaine
  • DKIM signe chaque email sortant pour prouver son authenticité
  • DMARC coordonne les deux et indique aux serveurs destinataires quoi faire en cas d’email non authentifié

Si ces protocoles ne sont pas correctement configurés, des escrocs peuvent envoyer des emails qui semblent provenir de contact@votre-entreprise.fr à n’importe qui. Vérifiez votre configuration en quelques secondes avec le test de sécurité email gratuit.

Pour tout comprendre sur SPF, DKIM et DMARC : Sécurité email PME : tester SPF, DKIM et DMARC.

Les bonnes habitudes au quotidien

Au-delà de la gestion des emails suspects, quelques habitudes simples réduisent considérablement votre exposition aux attaques numériques.

Un mot de passe unique par service

Réutiliser le même mot de passe sur plusieurs services est l’une des pratiques les plus risquées. Quand un service est piraté et que votre mot de passe fuite, les attaquants testent automatiquement ce même mot de passe sur des centaines d’autres services : banque, messagerie, outils professionnels. Un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) génère et retient des mots de passe forts et uniques à votre place.

L’authentification à deux facteurs (2FA) sur tous les comptes importants

La 2FA ajoute une deuxième étape de vérification lors de la connexion — souvent un code reçu par SMS ou généré par une application. Même si votre mot de passe est volé, l’attaquant ne peut pas se connecter sans ce deuxième facteur. Activez-la sur votre messagerie professionnelle, vos outils de travail collaboratif, et votre banque en ligne.

Mettre à jour régulièrement ses applications et son système

Les mises à jour corrigent les failles de sécurité. Ne les retardez pas inutilement. Activez les mises à jour automatiques sur votre navigateur et votre système d’exploitation quand c’est possible.

Ne pas utiliser une messagerie personnelle pour des affaires professionnelles

Les comptes personnels ont souvent des protections moindres et ne sont pas soumis aux politiques de sécurité de votre entreprise. Gardez une séparation stricte entre vos usages personnels et professionnels.

Signaler plutôt que supprimer

Si vous recevez un email suspect et que vous ne cliquez pas dessus, ne le supprimez pas sans le signaler. Votre service informatique a besoin de ces signalements pour comprendre les tentatives en cours, alerter d’autres collaborateurs qui ont peut-être reçu le même email, et améliorer les filtres de protection.

Un signalement prend trente secondes. Il peut éviter une attaque réussie contre un collègue moins vigilant.

Checklist imprimable : les réflexes anti-phishing

À afficher dans votre bureau ou à partager avec toute l’équipe.

Avant de cliquer sur un lien

  • J’ai vérifié l’adresse email complète de l’expéditeur (pas seulement le nom affiché)
  • Le domaine après le @ correspond bien à l’organisation supposée
  • J’ai survolé le lien sans cliquer pour voir l’URL réelle
  • L’URL de destination correspond bien au site attendu
  • Il n’y a pas d’urgence artificielle, de menace ou de promesse suspecte

Avant d’ouvrir une pièce jointe

  • J’attendais cette pièce jointe
  • L’expéditeur est bien celui qu’il prétend être
  • Le format de fichier est courant (PDF, Word, Excel) et ne demande pas d’activer des macros

Avant d’effectuer un virement ou de transmettre des informations sensibles

  • J’ai vérifié la demande par un autre canal (appel téléphonique sur un numéro connu)
  • La demande respecte les procédures habituelles de l’entreprise
  • Je n’agis pas sous la pression d’une urgence artificielle

En cas de doute

  • Je ne clique sur rien, je ne réponds pas à l’email
  • Je signale à mon service informatique (ou à signal-spam.fr)
  • Si j’ai cliqué par erreur : j’alerte immédiatement le service IT

Ce que disent les données sur la formation

Un employé non formé sur trois clique sur un lien de phishing (Proofpoint State of the Phish 2025). Selon les données de benchmarking de KnowBe4 (2024), ce taux passe de ~33 % à moins de 5 % après 12 mois de programme de simulation régulier. Ce n’est pas une transformation magique : c’est la mécanique de l’entraînement. Les réflexes ne se développent pas en lisant un article — ils se développent en étant confronté à de vraies situations, même simulées.

Les statistiques détaillées sur l’impact du phishing en entreprise, avec les benchmarks par secteur d’activité : Phishing en entreprise : statistiques 2026.

Pour les nouvelles formes d’attaques qui combinent email, SMS, appels et QR codes : Quishing, vishing, smishing : les nouvelles formes de phishing en 2026.

Votre équipe est-elle prête face au phishing ?

La checklist suffit pour sensibiliser. La simulation permet de mesurer. Testez en 15 minutes si vos collaborateurs cliquent sur les emails frauduleux — et recevez un rapport détaillé par profil.

Tester la vigilance de votre équipe →

Questions fréquentes

Comment vérifier rapidement si un expéditeur d’email est légitime ?

Cliquez sur le nom affiché dans le champ expéditeur pour révéler l’adresse email complète. Vérifiez le domaine après le @ : il doit correspondre exactement à celui de l’organisation supposée. Un email de votre banque vient de @ma-banque.fr, pas de @ma-banque-securite.com. Survolez les liens sans cliquer pour voir leur destination réelle en bas de l’écran. Pour une analyse plus approfondie, notre guide sur les en-têtes email explique chaque étape.

Comment reconnaître un faux email professionnel ?

Les faux emails combinent généralement plusieurs signaux : urgence artificielle (action requise en 24h), demande inhabituelle (virement, changement de coordonnées, identifiants), expéditeur légèrement différent de l’original (domaine sosie), liens pointant vers un domaine inconnu. Un seul signal peut suffire à justifier une vérification par téléphone avant toute action. La simulation de phishing en entreprise est la méthode la plus efficace pour ancrer ces réflexes dans la durée.

Que faire si j’ai cliqué sur un lien suspect dans un email professionnel ?

N’attendez pas. Prévenez immédiatement votre service informatique. Si vous avez saisi des identifiants, changez votre mot de passe depuis un autre appareil. Si des coordonnées bancaires ont été saisies, alertez votre banque sans délai. Signalez l’email sur signal-spam.fr. Ne supprimez pas l’email : votre service IT en aura besoin pour analyser l’incident.

Faut-il ouvrir les pièces jointes reçues par email ?

Ouvrez uniquement les pièces jointes que vous attendiez et dont la source est certaine. Une pièce jointe non sollicitée — même de la part d’un collègue — mérite une vérification préalable. Les formats à risque incluent les fichiers .exe, .zip, .iso, et les documents Office qui demandent d’activer des macros. En cas de doute, demandez confirmation à l’expéditeur par téléphone ou messagerie interne avant d’ouvrir.

À quelle fréquence faut-il changer son mot de passe professionnel ?

Les recommandations actuelles de l’ANSSI et du NIST n’imposent plus de changement périodique automatique. Ce qui compte : un mot de passe long et unique par service, combiné à l’authentification à deux facteurs (2FA) sur tous les comptes professionnels. Changez votre mot de passe immédiatement si vous suspectez une compromission ou si un service que vous utilisez signale une fuite de données.

Articles similaires

À quelle fréquence simuler des attaques phishing ?

Mensuel, trimestriel ou annuel ? Données sur la fréquence idéale de simulation phishing, risques de trop peu ou trop, et calendrier 12 mois prêt à l'emploi.

Psychologie du phishing : pourquoi les plus intelligents cliquent

Les biais cognitifs exploités par le phishing : autorité, urgence, preuve sociale. Pourquoi l'intelligence ne protège pas et comment entraîner de vrais réflexes.

Votre assurance cyber vous demande une preuve de formation ?

Les assureurs cyber exigent des preuves de sensibilisation. Comment votre programme de formation réduit vos primes et protège vos indemnisations.