Phishing en entreprise : statistiques 2026, exemples et solutions
91% des cyberattaques commencent par un phishing. Statistiques 2026, types d'attaques, exemples réels en France et solutions pour protéger votre PME.
En 2025, 91 % des cyberattaques réussies ont commencé par un simple email de phishing (Verizon DBIR 2025). Ce chiffre, aussi vertigineux soit-il, ne surprend plus les professionnels de la cybersécurité. Ce qui surprend davantage, c'est la vitesse à laquelle ces attaques se perfectionnent, et la lenteur avec laquelle les entreprises s'adaptent.
En France, la situation est particulièrement préoccupante pour les petites et moyennes entreprises. 43 % des PME françaises ont été la cible d'au moins une tentative de phishing en 2025 (ANSSI). Parmi elles, une proportion significative n'avait ni outil de détection, ni programme de formation, ni protocole de réponse à incident.
Cet article est le guide de référence francophone sur le phishing en entreprise en 2026. Vous y trouverez les statistiques les plus récentes, les sept types d'attaques qui ciblent les organisations, des exemples réels survenus en France, et surtout comment construire une défense efficace combinant détection technique, simulation de phishing et formation continue. Les données citées proviennent des rapports Verizon DBIR 2025, IBM Cost of a Data Breach 2025, Proofpoint State of the Phish 2025, du baromètre CESIN et des publications de l'ANSSI.
Que vous soyez dirigeant, responsable informatique ou RSSI (responsable de la sécurité des systèmes d'information) d'une PME, ce guide vous donnera les clés pour comprendre la menace et agir concrètement.
Phishing en entreprise : les chiffres clés en 2026
Les statistiques du phishing en entreprise confirment la même tendance : la menace est massive, en croissance et de plus en plus coûteuse. Voici les données les plus marquantes issues des rapports de référence.
| Indicateur | Chiffre | Source |
|---|---|---|
| Part des cyberattaques commençant par un phishing | 91 % | Verizon DBIR 2025 |
| PME victimes déclarant un impact menaçant leur viabilité | 1 sur 3 | Hiscox Cyber Readiness Report 2025 |
| Employés cliquant sur un lien de phishing sans formation | 1 sur 3 | Proofpoint State of the Phish 2025 |
| Coût moyen d'une violation de données liée au phishing | 4,88 M$ | IBM Cost of a Data Breach 2025 |
| Emails de phishing envoyés chaque jour dans le monde | 3,4 milliards | Barracuda Networks 2025 |
| Augmentation des attaques de phishing sur un an | +58 % | Zscaler ThreatLabz 2025 |
| Délai moyen de détection d'une compromission par phishing | 207 jours | IBM Cost of a Data Breach 2025 |
Selon le rapport IBM Cost of a Data Breach 2025, le phishing est à la fois le vecteur d'attaque initial le plus fréquent et l'un des plus coûteux. Les 4,88 millions de dollars de coût moyen incluent la détection, la réponse à incident, la perte de chiffre d'affaires et les sanctions réglementaires. Pour une PME française dont le chiffre d'affaires annuel se situe entre 2 et 50 millions d'euros, une seule attaque réussie peut représenter une menace existentielle. Pour le détail poste par poste : Combien coûte une cyberattaque pour une PME de 50 personnes.
Le Hiscox Cyber Readiness Report 2025 indique qu'un tiers des entreprises touchées ont subi un impact suffisamment lourd pour menacer leur santé financière. Perte de confiance des clients, paralysie opérationnelle, coûts de remédiation : les dommages se cumulent et fragilisent durablement l'entreprise.
Enfin, un employé sur trois clique sur un lien de phishing lorsqu'il n'a reçu aucune formation spécifique (Proofpoint State of the Phish 2025). Ce taux descend sous les 5 % après un programme de sensibilisation structuré : preuve que le facteur humain est à la fois le maillon faible et le premier atout de la défense anti-phishing.
Mesurer le taux de clic de votre équipe - première simulation en 15 minutes.
Les 7 types de phishing qui ciblent les entreprises
Le phishing en entreprise ne se limite plus aux emails mal rédigés remplis de fautes d'orthographe. Les attaquants ont diversifié leurs techniques et leurs canaux. Voici les sept types d'attaques que toute organisation doit connaître.
1. Phishing par email classique
Définition : Envoi massif d'emails imitant des marques ou institutions de confiance (banques, services cloud, administrations) pour voler des identifiants ou installer des logiciels malveillants.
Comment ça fonctionne : L'attaquant reproduit fidèlement l'identité visuelle d'une marque connue, logo, mise en page, ton, et envoie un email à des milliers de destinataires. Le message contient un lien vers une page de connexion contrefaite ou une pièce jointe piégée.
Exemple : Un email prétendant provenir de Microsoft 365 avertit l'utilisateur que son mot de passe expire dans 24 heures et l'invite à cliquer sur un lien pour le renouveler. La page de destination est une copie parfaite de la page de connexion Microsoft, hébergée sur un domaine comme microsft-365-login.com.
Difficulté de détection : Moyenne. Les filtres email modernes bloquent la majorité de ces tentatives, mais les campagnes les plus sophistiquées utilisent des domaines nouvellement enregistrés et des techniques d'évasion qui contournent les protections standards.
2. Spear phishing (hameçonnage ciblé)
Définition : Attaque de phishing personnalisée visant un individu spécifique, utilisant des informations collectées sur les réseaux sociaux, le site web de l'entreprise ou des bases de données compromises.
Comment ça fonctionne : L'attaquant recherche sa cible sur LinkedIn, le site de l'entreprise et les réseaux sociaux. Il construit un email hautement personnalisé en mentionnant le nom du destinataire, son poste, un projet en cours ou un collègue réel. Le niveau de personnalisation rend l'email beaucoup plus convaincant.
Exemple : Un comptable reçoit un email apparemment envoyé par le directeur financier, mentionnant une facture spécifique du fournisseur habituel et demandant de procéder à un virement urgent vers de nouvelles coordonnées bancaires.
Difficulté de détection : Élevée. La personnalisation rend ces emails difficiles à distinguer des communications légitimes, même pour des employés expérimentés.
3. Whaling / Fraude au président
Définition : Variante du spear phishing ciblant exclusivement les dirigeants (CEO, CFO, DG) ou se faisant passer pour eux auprès des équipes.
Comment ça fonctionne : L'attaquant usurpe l'identité du PDG ou d'un membre du comité de direction pour adresser une demande urgente et confidentielle à un collaborateur disposant d'accès financiers. La pression hiérarchique et le caractère prétendument confidentiel de la demande inhibent les réflexes de vérification.
Exemple : La « fraude au président » classique en France : un email semblant provenir du DG demande au service comptabilité de réaliser un virement de 500 000 euros pour une « acquisition confidentielle en cours ». L'email insiste sur le secret absolu et l'urgence.
Difficulté de détection : Très élevée. Ces attaques exploitent la déférence hiérarchique et l'urgence pour court-circuiter les procédures de contrôle.
4. Business Email Compromise (BEC)
Définition : Compromission réelle d'un compte email professionnel, utilisé ensuite pour envoyer des messages frauduleux depuis une adresse légitime.
Comment ça fonctionne : Contrairement au spear phishing qui imite un expéditeur, le BEC utilise le véritable compte email d'un collaborateur. L'attaquant accède au compte (souvent via un phishing initial), observe les échanges en cours, puis intervient au moment opportun : par exemple pour modifier les coordonnées bancaires dans une chaîne d'emails avec un fournisseur.
Exemple : Un attaquant compromet le compte email d'un acheteur dans une entreprise industrielle. Il surveille pendant deux semaines les échanges avec un fournisseur stratégique, puis répond au dernier email de facturation en indiquant un changement de RIB. Le fournisseur, qui communique avec l'adresse email habituelle, effectue le virement vers le compte frauduleux.
Difficulté de détection : Très élevée. L'email provient d'une adresse légitime, à l'intérieur d'une conversation existante, rendant la détection quasi impossible sans analyse comportementale avancée.
5. Smishing (phishing par SMS)
Définition : Attaques de phishing diffusées par SMS, exploitant la confiance supérieure que les utilisateurs accordent aux messages texte par rapport aux emails.
Comment ça fonctionne : L'attaquant envoie un SMS semblant provenir d'une institution reconnue (banque, service de livraison, administration) avec un lien vers un site frauduleux. Les SMS bénéficient d'un taux d'ouverture de 98 % contre 20 % pour les emails, et les URL raccourcies masquent la destination réelle.
Exemple : Un SMS prétendant provenir de l'Assurance Maladie informe le destinataire qu'il doit mettre à jour sa carte Vitale en urgence via un lien. Le site imite le portail Ameli.fr et collecte numéro de sécurité sociale, identifiants et coordonnées bancaires.
Difficulté de détection : Élevée. Les filtres anti-spam sur SMS sont moins matures que sur email, et les utilisateurs sont moins méfiants face aux SMS. Selon Proofpoint, les attaques de smishing ont augmenté de +300 % depuis 2023.
6. Vishing (phishing vocal)
Définition : Attaques par téléphone utilisant l'ingénierie sociale, de plus en plus renforcées par le clonage vocal par intelligence artificielle.
Comment ça fonctionne : L'attaquant appelle la cible en se faisant passer pour un technicien informatique, un banquier ou un collègue. Avec les outils de synthèse vocale par IA, il peut désormais reproduire fidèlement la voix d'une personne réelle à partir de quelques secondes d'enregistrement audio (conférence, vidéo YouTube, messagerie vocale).
Exemple : Un directeur financier reçoit un appel de ce qu'il croit être le PDG, lui demandant de valider un virement urgent. La voix, clonée à partir d'une intervention publique du PDG, est parfaitement reconnaissable. Ce scénario, documenté par plusieurs cabinets de cybersécurité, a causé des pertes dépassant le million d'euros dans des entreprises européennes.
Difficulté de détection : Très élevée. Le clonage vocal par IA représente une rupture technologique qui rend les protections traditionnelles (« vérifier de vive voix ») obsolètes.
7. QR phishing (Quishing)
Définition : Utilisation de codes QR malveillants dans des emails, documents imprimés ou affiches pour diriger les victimes vers des sites de phishing.
Comment ça fonctionne : L'attaquant insère un code QR dans un email professionnel (prétextant une authentification à deux facteurs, un document partagé) ou dans un support physique (fausse contravention, affiche dans un lieu public). Le code QR redirige vers un site de phishing. Les codes QR contournent les filtres email traditionnels qui n'analysent pas les images.
Exemple : Des fausses contraventions de stationnement déposées sur les pare-brise dans plusieurs villes françaises. Le PV invite à scanner un code QR pour « contester ou payer l'amende en ligne ». Le site collecte les données bancaires.
Difficulté de détection : Élevée. Les codes QR masquent naturellement l'URL de destination, empêchant la vérification visuelle du lien. Les solutions de sécurité email traditionnelles ne scannent pas les QR codes intégrés dans les images.
Pour une analyse approfondie du quishing, du vishing et du smishing avec des stratégies de défense spécifiques : Les nouvelles formes de phishing en 2026.
Exemples d'attaques de phishing en France
Au-delà des statistiques, les exemples concrets illustrent la réalité de la menace pour les entreprises françaises. Voici quatre cas représentatifs des attaques qui frappent l'Hexagone.
Attaque par phishing contre un CHU français (2024)
Ce qui s'est passé : Un agent hospitalier a reçu un email imitant une notification du système de gestion des plannings. En cliquant sur le lien et en saisissant ses identifiants, il a donné aux attaquants un point d'entrée dans le réseau de l'établissement. En quelques heures, un ransomware s'est propagé sur l'infrastructure, chiffrant les dossiers patients et paralysant les systèmes de prescription.
Impact : Retour au papier pendant plusieurs semaines, déprogrammation d'opérations non urgentes, coût de remédiation estimé à plusieurs millions d'euros par l'ANSSI, et risque direct pour la sécurité des patients. Ce type d'incident a été documenté à de multiples reprises par l'ANSSI dans ses rapports annuels sur l'état de la menace.
Comment cela aurait pu être évité : Une formation régulière des agents aux signaux d'alerte du phishing, combinée à un outil de vérification des emails suspects, aurait permis aux agents de faire analyser le message avant de cliquer.
BEC ciblant une ETI industrielle : virement frauduleux de 800 000 euros
Ce qui s'est passé : Les attaquants ont compromis le compte email d'un responsable achats d'une entreprise de taille intermédiaire dans le secteur industriel. Après deux semaines d'observation silencieuse des échanges avec un fournisseur stratégique, ils ont intercepté une facture en cours de règlement et substitué les coordonnées bancaires par celles d'un compte offshore.
Impact : 800 000 euros virés vers un compte frauduleux, irrécupérables malgré l'intervention rapide de la banque. La compromission a été découverte uniquement lorsque le véritable fournisseur a relancé pour impayé, soit trois semaines après le virement.
Comment cela aurait pu être évité : Un protocole de double vérification pour tout changement de coordonnées bancaires (appel téléphonique au numéro habituel, non à celui fourni dans l'email), et une solution de détection comportementale des accès email anormaux.
Campagne de smishing usurpant l'Assurance Maladie
Ce qui s'est passé : Une campagne massive de SMS frauduleux a ciblé des centaines de milliers de Français en se faisant passer pour l'Assurance Maladie. Le message indiquait que la nouvelle carte Vitale était disponible et invitait à la commander via un lien. Le site, copie quasi parfaite d'Ameli.fr, demandait numéro de sécurité sociale, identifiants FranceConnect et coordonnées bancaires (sous prétexte de frais d'envoi de 1,90 euro).
Impact : Des milliers de victimes ont communiqué leurs données personnelles et bancaires. Les informations collectées ont été revendues sur le dark web et utilisées pour des usurpations d'identité. L'assurance Maladie et Cybermalveillance.gouv.fr ont émis des alertes publiques.
Comment cela aurait pu être évité : Une sensibilisation régulière des collaborateurs aux techniques de smishing, incluant des simulations de phishing par SMS, aurait réduit significativement le taux de clic.
QR phishing dans les fausses contraventions de stationnement
Ce qui s'est passé : Dans plusieurs grandes villes françaises, des faux avis de contravention ont été déposés sur les pare-brise de véhicules. Le document, reprenant fidèlement le format officiel des PV, incluait un code QR invitant à « payer ou contester l'amende en ligne ». Le site de destination collectait les données de carte bancaire.
Impact : Difficile à quantifier en raison du nombre de victimes non déclarées, mais les forces de l'ordre ont signalé des centaines de plaintes. L'attaque est particulièrement insidieuse car elle exploite un support physique, le papier, que la plupart des gens ne perçoivent pas comme un vecteur de cyberattaque.
Comment cela aurait pu être évité : La formation des employés doit inclure les vecteurs non numériques comme le quishing. Un programme de sensibilisation complet couvre tous les canaux d'attaque, pas uniquement l'email.
Lancer une simulation multi-canal - email, QR code et SMS inclus.
Pourquoi les PME sont des cibles privilégiées
Si les grandes entreprises et les institutions font les gros titres lorsqu'elles sont victimes de cyberattaques, les PME constituent en réalité les cibles les plus fréquentes et les plus vulnérables. Plusieurs facteurs structurels expliquent cette exposition disproportionnée.
Budget cybersécurité limité. Selon le baromètre CESIN 2025, les PME françaises consacrent en moyenne moins de 5 % de leur budget IT à la cybersécurité, contre 10 à 15 % pour les grandes entreprises. Ce sous-investissement se traduit par des outils de protection obsolètes ou absents, et l'impossibilité de déployer des solutions avancées de détection.
Absence d'équipe dédiée. La plupart des PME ne disposent ni d'un SOC (Security Operations Center) ni d'un RSSI (Responsable de la Sécurité des Systèmes d'Information) à plein temps. La sécurité informatique est souvent gérée par le responsable IT généraliste, voire par le dirigeant lui-même, en plus de ses autres responsabilités.
Moins de formation des employés. Dans une grande entreprise, la sensibilisation à la cybersécurité fait partie du parcours d'intégration et des formations annuelles obligatoires. Dans une PME, cette formation est souvent inexistante ou réduite à un email d'avertissement ponctuel. Or, c'est précisément le facteur humain que le phishing exploite.
Porte d'entrée vers les grands groupes (supply chain attacks). Les PME qui travaillent comme sous-traitants ou fournisseurs de grandes entreprises deviennent des cibles stratégiques. Compromettre le réseau d'un fournisseur permet d'atteindre la grande entreprise cliente par rebond : une technique documentée dans de nombreuses attaques de supply chain ces dernières années.
Conformité réglementaire en retard. L'entrée en vigueur de NIS2 (directive européenne sur la sécurité des réseaux et des systèmes d'information) et de DORA (Digital Operational Resilience Act) impose de nouvelles obligations aux PME de secteurs critiques. Cependant, selon l'ANSSI, une majorité de PME concernées n'ont pas encore engagé leur mise en conformité. Pour en savoir plus sur ces obligations, consultez notre guide NIS2 pour les PME et notre page dédiée à la conformité SOC2 et ISO 27001.
Sentiment de fausse sécurité. Beaucoup de dirigeants de PME pensent encore que leur entreprise est « trop petite pour intéresser les hackers ». Cette croyance est dangereuse : les attaques de phishing sont massivement automatisées et ne font pas de distinction de taille. Un email de phishing envoyé à 100 000 adresses touche aussi bien le CAC 40 que la TPE de 5 salariés.
Comment détecter un email de phishing : les 8 signaux d'alerte
Avant de mettre en place des solutions techniques, chaque collaborateur doit savoir reconnaître un email de phishing. Voici les huit signaux d'alerte à vérifier systématiquement.
1. Expéditeur suspect. Vérifiez l'adresse email complète, pas seulement le nom affiché. Un email de support@micros0ft-365.com (avec un zéro) n'est pas un email de Microsoft. Les attaquants utilisent des domaines qui ressemblent visuellement aux domaines légitimes (typosquatting).
2. Urgence artificielle. « Votre compte sera suspendu dans 24 heures », « Action requise immédiatement », « Dernier avertissement avant fermeture ». L'urgence est la technique de manipulation la plus utilisée en phishing pour empêcher la réflexion. Pour comprendre les mécanismes cognitifs exploités par ces techniques : La psychologie du phishing et les biais cognitifs.
3. Liens masqués. Survolez (sans cliquer) chaque lien dans l'email. L'URL affichée dans le texte ne correspond pas toujours à l'URL réelle de destination. Un lien affichant www.mabanque.fr peut pointer vers www.mabanque-securite.xyz.
4. Pièces jointes inattendues. Méfiez-vous des pièces jointes non sollicitées, en particulier les fichiers .exe, .zip, .iso et les documents Office contenant des macros (.docm, .xlsm). Ne jamais activer les macros sur un document reçu par email.
5. Fautes d'orthographe et de grammaire. Bien que les attaques les plus sophistiquées soient désormais rédigées sans erreur (grâce à l'IA générative), la présence de fautes dans un email prétendument officiel reste un signal d'alerte. Attention toutefois : l'absence de fautes ne garantit pas la légitimité.
6. Demande d'informations sensibles. Aucune organisation légitime ne demande par email un mot de passe, un numéro de carte bancaire, un code de validation ou un numéro de sécurité sociale. Toute demande de ce type est suspecte par défaut.
7. Absence de personnalisation. Un email commençant par « Cher client », « Cher utilisateur » ou « Madame, Monsieur » alors que l'expéditeur est censé vous connaître est suspect. Cependant, les attaques par spear phishing utilisent votre vrai nom : ce critère seul ne suffit donc pas.
8. Design approximatif. Logos pixélisés ou déformés, mise en page cassée sur mobile, couleurs légèrement différentes de la charte officielle, pied de page incomplet. Ces indices visuels trahissent souvent une tentative de phishing, même si les copies deviennent de plus en plus fidèles.
Cette checklist est un premier rempart, mais elle ne suffit pas face aux attaques les plus sophistiquées. C'est pourquoi la combinaison détection technique + simulation + formation reste nécessaire. Découvrez les fonctionnalités complètes de la plateforme nophi.sh pour une protection globale.
Solutions pour protéger votre entreprise contre le phishing
Une défense efficace contre le phishing en entreprise repose sur la complémentarité de trois approches. Aucune ne suffit seule : c'est leur combinaison qui crée une posture de sécurité solide.
Pilier 1 : Détection technique
La première ligne de défense est technologique. Elle vise à empêcher les emails malveillants d'atteindre les boîtes de réception.
Authentification email (SPF, DKIM, DMARC). Ces trois protocoles constituent le socle de la sécurité email. SPF vérifie que le serveur expéditeur est autorisé à envoyer au nom du domaine. DKIM ajoute une signature cryptographique garantissant l'intégrité du message. DMARC coordonne les deux et définit la politique de traitement des messages non conformes. Selon le rapport Verizon DBIR 2025, les organisations ayant déployé DMARC en mode reject réduisent de 75 % les tentatives d'usurpation de leur domaine.
Détection par intelligence artificielle. Les filtres basés sur des signatures et des listes noires sont insuffisants face aux nouvelles attaques. Les solutions de détection par IA analysent en temps réel le contenu, le contexte, les métadonnées et les comportements pour identifier les menaces inédites (zero-day phishing). Découvrez comment fonctionne la détection de phishing par IA d'nophi.sh.
Analyse des URLs et des pièces jointes. Le sandboxing (exécution en environnement isolé) et l'analyse dynamique des liens et fichiers joints permettent de détecter les contenus malveillants que les filtres statiques laissent passer.
Pilier 2 : Simulation et test
La détection technique, aussi performante soit-elle, ne bloquera jamais 100 % des menaces. Le facteur humain reste le dernier rempart, et il doit être entraîné.
Campagnes de phishing simulé régulières. La simulation de phishing consiste à envoyer de faux emails de phishing aux collaborateurs pour mesurer et améliorer leur vigilance. Selon le SANS Institute, les organisations qui conduisent des simulations mensuelles réduisent leur taux de clic de 60 % en six mois.
Benchmarking par département. Tous les services ne sont pas également exposés. Les équipes finances, RH et direction sont les cibles prioritaires. Les simulations permettent d'identifier les départements les plus vulnérables et d'adapter la formation en conséquence. Pour les données de référence par secteur d'activité : Taux de clic phishing : benchmarks par secteur.
Apprentissage par l'expérience. Un collaborateur qui clique sur un phishing simulé et se retrouve face à une page de sensibilisation retient la leçon beaucoup plus efficacement qu'après une formation théorique. C'est le principe du « teachable moment ».
Pour mettre en place un programme de simulation structuré, consultez notre guide complet de la simulation de phishing en entreprise et découvrez les campagnes de simulation nophi.sh.
Pilier 3 : Formation continue
La formation ne doit pas être un événement ponctuel, mais un processus continu adapté au niveau de risque de chaque collaborateur.
Micro-learning post-échec. Lorsqu'un employé échoue à une simulation de phishing, il reçoit immédiatement un module de formation court (3 à 5 minutes) ciblé sur le type d'attaque qu'il n'a pas détecté. Ce format « just-in-time » est 4 fois plus efficace que les formations annuelles classiques selon le rapport Gartner Security & Risk Management 2025.
Parcours adaptatif selon le niveau de risque. Les collaborateurs ne partent pas tous du même niveau. Un parcours de formation adaptatif ajuste la difficulté et le contenu en fonction des résultats aux simulations. Les profils à haut risque reçoivent une attention renforcée.
Culture de la sécurité. Au-delà de la formation individuelle, l'objectif est de créer une culture où le signalement d'un email suspect est valorisé : pas sanctionné. Les organisations les plus matures en matière de cybersécurité célèbrent les signalements et font de chaque incident une occasion d'apprentissage collectif.
Pour une approche structurée de la formation, consultez notre guide de formation cybersécurité pour PME.
Questions fréquentes sur le phishing en entreprise
Quelle est la différence entre phishing et spear phishing ?
Le phishing classique est une attaque de masse : le même email est envoyé à des milliers, voire des millions de destinataires sans personnalisation. Le spear phishing est une attaque ciblée : l'email est spécifiquement conçu pour un individu ou un petit groupe, en utilisant des informations personnelles (nom, poste, projets en cours) pour paraître légitime. Selon le rapport Verizon DBIR 2025, le spear phishing est utilisé dans 65 % des attaques ciblées contre les entreprises. Sa détection est nettement plus difficile car l'email ne correspond à aucun modèle connu.
Combien coûte une attaque de phishing à une PME ?
Le coût varie considérablement selon la nature de l'attaque. Selon IBM Cost of a Data Breach 2025, le coût moyen global est de 4,88 millions de dollars, mais ce chiffre inclut les grandes entreprises. Pour une PME française, les estimations du CESIN situent le coût médian entre 15 000 et 300 000 euros, incluant la remédiation technique, la perte de productivité, les frais juridiques et l'impact réputationnel. Dans le cas d'un BEC avec virement frauduleux, la perte directe peut atteindre plusieurs centaines de milliers d'euros. Sans compter les sanctions RGPD potentielles en cas de fuite de données personnelles (jusqu'à 4 % du chiffre d'affaires annuel).
Comment signaler un email de phishing ?
En interne, transférez l'email suspect à votre service informatique ou utilisez le bouton de signalement intégré à votre client de messagerie (si votre entreprise en a déployé un). Ne cliquez sur aucun lien et n'ouvrez aucune pièce jointe. En externe, vous pouvez signaler les tentatives de phishing sur la plateforme Cybermalveillance.gouv.fr et transférer les emails frauduleux à signal-spam@signal-spam.fr. Pour les SMS, transférez le message au 33700. Le signalement est essentiel : il alimente les bases de données qui protègent tout le monde. Voir aussi : Que faire en cas de phishing : guide complet.
Les antivirus protègent-ils contre le phishing ?
Partiellement. Les antivirus modernes intègrent des fonctionnalités anti-phishing (détection d'URL malveillantes, analyse de pièces jointes), mais ils ne constituent pas une protection complète. Selon Proofpoint State of the Phish 2025, les antivirus seuls détectent moins de 40 % des attaques de phishing récentes, en particulier celles utilisant des sites de phishing nouvellement créés (zero-day) ou des techniques sans malware (vol d'identifiants via une fausse page de connexion). Une protection efficace nécessite des couches supplémentaires : filtrage email avancé, détection par IA, formation des utilisateurs et simulation régulière.
À quelle fréquence faut-il former les employés au phishing ?
Les recommandations des organismes de référence (ANSSI, NIST, SANS Institute) convergent : une formation initiale lors de l'intégration, des simulations de phishing au moins mensuelles, et des modules de micro-learning déclenchés par les échecs aux simulations. L'étude Proofpoint State of the Phish 2025 montre que l'effet d'une formation ponctuelle s'estompe en 4 à 6 mois. Seul un programme continu maintient un taux de vigilance élevé sur la durée. L'idéal est de combiner formations planifiées et moments d'apprentissage contextuels (après un clic sur un phishing simulé).
La simulation de phishing est-elle légale en France ?
Oui, la simulation de phishing est légale en France dans le cadre de la sensibilisation des collaborateurs, à condition de respecter certaines conditions. L'employeur doit informer les instances représentatives du personnel (CSE) de la mise en place du programme. Les résultats individuels doivent être traités de manière confidentielle et ne peuvent pas être utilisés à des fins disciplinaires. Le traitement des données est encadré par le RGPD : base légale d'intérêt légitime, information des personnes concernées, durée de conservation limitée. La CNIL recommande la transparence sur l'existence du programme tout en préservant l'effet de surprise nécessaire à son efficacité. Consultez notre page conformité pour plus de détails sur le cadre réglementaire.
Conclusion
Le phishing en entreprise est la réalité quotidienne de millions d'organisations dans le monde, et les PME françaises figurent parmi les cibles les plus exposées. Un employé non formé sur trois clique sur un lien malveillant, et un tiers des PME victimes déclarent un impact menaçant leur viabilité.
Face à cette menace, la réponse ne peut être uniquement technologique. La détection technique, la simulation de phishing et la formation continue fonctionnent ensemble : la première filtre les menaces connues, la deuxième mesure la vigilance réelle des équipes, la troisième ancre les bons réflexes dans la durée.
Chaque jour sans programme de sensibilisation est un jour de vulnérabilité supplémentaire. La bonne nouvelle : les solutions existent, elles sont accessibles aux PME, et leurs résultats sont mesurables dès les premières semaines.
Tester la vigilance de vos équipes - première simulation en 15 minutes, résultats mesurables immédiatement.