Skip to content
Retour aux guides
Guide

Que faire en cas de phishing : guide complet de réponse à incident

Procédure complète étape par étape si un employé a cliqué sur un phishing. Confinement technique, obligations légales RGPD/CNIL, signalement ANSSI, communication interne.

Thomas Ferreira52 min de lecture

Il est 14h32. Votre comptable vient de saisir ses identifiants Microsoft 365 sur une fausse page de connexion. Elle s'en rend compte en voyant une erreur étrange après la saisie. Elle vous appelle, paniquée.

Vous avez entre 5 et 15 minutes pour limiter les dégâts. Chaque minute qui passe donne à l'attaquant le temps de se connecter au compte compromis, de lire les emails, de configurer des règles de transfert automatique, et de lancer un phishing interne vers tous les contacts de votre comptable.

Ce guide vous donne la procédure exacte, minute par minute, pour gérer un incident de phishing dans une PME française. Il couvre le confinement technique immédiat, les obligations légales (RGPD, CNIL, LOPMI), les signalements aux autorités, la communication interne, la déclaration d'assurance, et l'analyse post-incident. Toutes les étapes sont applicables par une entreprise de 10 à 250 personnes : avec ou sans équipe informatique dédiée.

Imprimez cette page. Affichez-la dans le bureau du responsable informatique. Le jour où un incident se produit, vous n'aurez pas le temps de chercher quoi faire sur Google.

Les 15 premières minutes : confinement immédiat

Le premier réflexe est le confinement. L'objectif : empêcher l'attaquant d'exploiter les accès volés, et préserver les preuves pour l'enquête.

1. Déconnectez la machine du réseau

Coupez le Wi-Fi du poste concerné. Si la machine est branchée en Ethernet, débranchez le câble. Ne désactivez pas simplement le réseau dans les paramètres : utilisez le commutateur physique Wi-Fi (s'il existe) ou retirez le câble.

Ne pas éteindre l'ordinateur. Un poste éteint perd des données volatiles en mémoire (processus en cours, connexions réseau actives, clés de chiffrement temporaires) qui peuvent être utiles à l'analyse forensique. Laissez le poste allumé mais déconnecté du réseau.

2. Changez les mots de passe compromis : depuis un autre appareil

Utilisez un autre ordinateur ou un téléphone personnel pour changer immédiatement le mot de passe du compte compromis. Si l'employé a saisi ses identifiants Microsoft 365, changez le mot de passe Microsoft 365. S'il a saisi ses identifiants de messagerie professionnelle, changez le mot de passe de la messagerie.

Depuis un autre appareil : jamais depuis le poste compromis, qui peut être infecté par un keylogger ou un malware.

Si le même mot de passe est utilisé sur d'autres services (ce qui est fréquent malgré les consignes), changez-le partout. Le gestionnaire de mots de passe de l'entreprise simplifie cette opération.

3. Révoquez les sessions actives

L'attaquant a peut-être déjà utilisé les identifiants volés pour se connecter. Changer le mot de passe ne suffit pas : il faut révoquer toutes les sessions en cours.

Sur Microsoft 365 (Entra ID, anciennement Azure AD) :

  • Connectez-vous au centre d'administration Microsoft 365 (admin.microsoft.com)
  • Allez dans Utilisateurs > Utilisateurs actifs > sélectionnez l'utilisateur compromis
  • Cliquez sur « Réinitialiser le mot de passe » ET « Déconnecter toutes les sessions »
  • Dans Entra ID (entra.microsoft.com), allez dans Identité > Utilisateurs > sélectionnez l'utilisateur > « Révoquer les sessions »

Sur Google Workspace :

  • Console d'administration (admin.google.com) > Annuaire > Utilisateurs
  • Sélectionnez l'utilisateur > Sécurité > « Réinitialiser les cookies de connexion »
  • Cela force une déconnexion de toutes les sessions actives sur tous les appareils

4. Vérifiez les règles de transfert d'email

Les attaquants configurent souvent des règles de transfert automatique dans les minutes qui suivent une compromission. Ces règles envoient silencieusement une copie de tous les emails entrants vers une adresse externe contrôlée par l'attaquant. Si vous ne supprimez pas ces règles, l'attaquant continue de recevoir les emails même après le changement de mot de passe.

Sur Microsoft 365 :

  • Outlook > Paramètres > Courrier > Transfert : vérifiez qu'aucune adresse externe n'est configurée
  • Outlook > Paramètres > Courrier > Règles : examinez chaque règle : supprimez celles que l'utilisateur ne reconnaît pas
  • Centre d'administration Exchange > Flux de courrier > Règles : vérifiez les règles de transport au niveau organisationnel

Sur Google Workspace :

  • Gmail > Paramètres > Transfert et POP/IMAP : vérifiez l'adresse de transfert
  • Gmail > Paramètres > Filtres et adresses bloquées : examinez chaque filtre

5. Alertez l'équipe IT ou le prestataire informatique

Si votre entreprise dispose d'un responsable informatique, prévenez-le immédiatement. S'il n'y a pas d'équipe IT en interne (cas fréquent dans les PME de moins de 50 personnes), appelez votre prestataire informatique. Ne lui envoyez pas un email : appelez-le par téléphone. Un email peut arriver dans une boîte déjà compromise.

Transmettez-lui les informations suivantes :

  • Qui a cliqué (nom, poste, service)
  • Sur quoi (lien dans un email, pièce jointe, SMS)
  • Quand (heure exacte, aussi précise que possible)
  • Ce que la personne a saisi (identifiants, informations bancaires, données personnelles)
  • Les actions déjà prises (mot de passe changé, sessions révoquées, machine déconnectée)

6. Préservez les preuves

Avant toute modification supplémentaire, capturez les preuves :

  • Captures d'écran de l'email de phishing (expéditeur, objet, contenu, en-têtes si possible)
  • L'URL sur laquelle l'employé a cliqué (visible dans l'historique du navigateur ou dans l'email)
  • L'horodatage exact de l'incident
  • Les en-têtes de l'email (dans Outlook : ouvrir le message > Fichier > Propriétés > En-têtes Internet ; dans Gmail : ouvrir le message > trois points > « Afficher l'original »)

Enregistrez ces éléments dans un dossier partagé dédié aux incidents de sécurité, accessible uniquement à l'équipe de gestion de crise. Ces preuves seront nécessaires pour le dépôt de plainte, la notification CNIL, et la déclaration d'assurance.

La première heure : évaluation de l'impact

Le confinement est en place. L'attaquant n'a plus accès au compte (en principe). Passez maintenant à l'évaluation : que s'est-il passé exactement, et quelle est l'étendue des dégâts ?

Quel type de phishing ?

Tous les phishing n'ont pas le même impact. Identifiez le type d'attaque pour adapter votre réponse.

Vol d'identifiants (credential harvesting) : L'employé a saisi son login et son mot de passe sur une fausse page de connexion. L'attaquant dispose des identifiants mais n'a pas nécessairement installé de malware sur le poste. Le risque principal : accès à la messagerie, au stockage cloud, aux applications métier accessibles avec ces identifiants. C'est le scénario le plus fréquent.

Téléchargement de malware : L'employé a ouvert une pièce jointe ou téléchargé un fichier depuis un lien malveillant. Le poste est potentiellement infecté. Le risque : keylogger (enregistrement des frappes clavier), ransomware, accès distant pour l'attaquant (RAT), exfiltration de données locales.

Fraude au président (BEC, Business Email Compromise), L'email usurpe l'identité d'un dirigeant ou d'un fournisseur et demande un virement bancaire ou un changement de coordonnées bancaires. Le risque est financier direct.

Phishing multi-étapes : Le premier email n'est qu'un point d'entrée. L'attaquant utilise le compte compromis pour envoyer des phishing internes aux collègues, aux clients, aux fournisseurs. Le risque : propagation à l'ensemble de l'organisation et à ses partenaires.

Quelles données ont été exposées ?

Dressez un inventaire rapide des données accessibles depuis le compte compromis :

  • Emails : combien de mois d'historique ? Contiennent-ils des données personnelles de clients, des coordonnées bancaires, des contrats, des informations RH ?
  • Fichiers cloud (OneDrive, SharePoint, Google Drive) : quels dossiers sont accessibles ? Contiennent-ils des documents confidentiels ?
  • Applications métier : le compte compromis donne-t-il accès à un CRM, un ERP, un logiciel de comptabilité, une base de données clients ?
  • Contacts : l'annuaire de l'entreprise est-il accessible depuis ce compte ? L'attaquant peut-il identifier d'autres cibles internes ?

L'attaquant a-t-il déjà exploité l'accès ?

Vérifiez les journaux de connexion du compte compromis.

Sur Microsoft 365 :

  • Entra ID > Journaux de connexion > filtrez sur l'utilisateur compromis
  • Recherchez des connexions depuis des adresses IP inhabituelles, des pays où l'entreprise n'a pas de présence, ou des horaires anormaux (3h du matin)
  • Recherchez des connexions via des applications inhabituelles (API, PowerShell, IMAP)

Sur Google Workspace :

  • Console d'administration > Rapports > Audit > Connexion
  • Recherchez les mêmes anomalies : IP, géolocalisation, type de client

Vérifiez aussi les éléments envoyés de la messagerie : l'attaquant a-t-il envoyé des emails depuis le compte compromis ? Si oui, à qui ? Avec quel contenu ? C'est le signe d'une compromission active, et la réponse doit être escaladée.

Classifier l'incident

À ce stade, classifiez l'incident selon trois niveaux :

Niveau 1 : Clic sans saisie de données. L'employé a cliqué sur le lien mais n'a rien saisi et a fermé la page. Risque limité (possible téléchargement silencieux de malware). Action : scan antivirus du poste, surveillance renforcée pendant 72 heures.

Niveau 2 : Identifiants compromis, pas d'exploitation détectée. L'employé a saisi ses identifiants, mais les journaux ne montrent pas de connexion suspecte. Le changement de mot de passe et la révocation de sessions ont probablement bloqué l'attaquant à temps. Action : maintenir la surveillance, vérifier les règles email, auditer les accès sur 48 heures.

Niveau 3 : Exploitation active confirmée. Les journaux montrent des connexions suspectes, des emails envoyés depuis le compte compromis, des fichiers accédés, ou des règles de transfert ajoutées. L'attaquant a eu accès au compte. Action : escalade immédiate, notification CNIL probable, dépôt de plainte, communication aux personnes concernées.

Documenter la chronologie dès maintenant

Commencez un document de chronologie dès la première heure. Notez chaque action, chaque découverte, chaque décision, avec l'heure exacte et le nom de la personne qui l'a prise. Ce document sera votre source de vérité pour le dépôt de plainte, la notification CNIL, la déclaration d'assurance, et le post-mortem.

Format recommandé :

HeureActionQuiRésultat
14h32Employée saisit ses identifiants sur la page de phishingMarie D. (comptabilité)Identifiants compromis
14h35Marie contacte le responsable ITMarie D.Alerte donnée
14h38Poste déconnecté du réseauJean L. (IT)Machine isolée
14h40Mot de passe Microsoft 365 changé depuis un autre posteJean L. (IT)Ancien mot de passe invalide
14h42Sessions révoquées dans Entra IDJean L. (IT)Toutes les sessions fermées
14h45Vérification des règles de transfert : 1 règle suspecte trouvée et suppriméeJean L. (IT)Transfert vers xxx@gmail.com supprimé

Cette chronologie sera annexée au dépôt de plainte et à la déclaration d'assurance. Plus elle est précise, plus l'enquête et l'indemnisation seront rapides.

Les 24 premières heures : obligations légales

La réponse technique est en cours. En parallèle, activez le volet juridique. La France impose plusieurs obligations légales en cas d'incident cyber, avec des délais stricts. Si votre entreprise est soumise à la directive NIS2, des obligations supplémentaires s'appliquent : consultez notre guide NIS2 pour les PME.

RGPD Article 33 : notification CNIL dans les 72 heures

Si l'incident implique une violation de données personnelles, accès non autorisé, divulgation, perte, destruction de données personnelles, vous devez notifier la CNIL dans les 72 heures suivant la découverte de l'incident.

Le délai court à partir du moment où vous avez pris connaissance de la violation, pas à partir du moment où elle s'est produite. Si le phishing a eu lieu lundi à 14h et que vous l'avez découvert mardi à 9h, le délai de 72 heures commence mardi à 9h.

Quand notifier ? Trois niveaux de réponse selon la gravité :

  • Pas de risque pour les personnes (aucune donnée personnelle dans le périmètre compromis) : documentez l'incident dans votre registre interne des violations. Pas de notification CNIL.
  • Risque pour les droits et libertés (des données personnelles ont été exposées mais pas encore exploitées) : notifiez la CNIL dans les 72 heures. Pas d'obligation d'informer les personnes concernées.
  • Risque élevé (données sensibles compromises, données bancaires, données de santé, ou exploitation confirmée) : notifiez la CNIL dans les 72 heures ET informez les personnes concernées dans les meilleurs délais (RGPD Article 34).

Comment notifier ? Rendez-vous sur le téléservice de notification de la CNIL. Remplissez la notification initiale avec les informations disponibles. Vous pouvez compléter la notification ultérieurement : la CNIL préfère une notification rapide et partielle à une notification tardive et complète.

Informations requises dans la notification :

  • Nature de la violation (accès non autorisé, divulgation, etc.)
  • Catégories de données personnelles concernées (identifiants, coordonnées, données bancaires)
  • Nombre approximatif de personnes concernées
  • Conséquences probables de la violation
  • Mesures prises ou envisagées pour remédier à la violation

Loi LOPMI : dépôt de plainte dans les 72 heures

Depuis le 24 avril 2023, la loi LOPMI (loi d'orientation et de programmation du ministère de l'Intérieur) impose une condition supplémentaire : pour être indemnisé par votre assurance cyber, vous devez déposer plainte dans les 72 heures suivant la découverte de l'atteinte.

Ce délai est indépendant de celui de la CNIL. Les deux courront en parallèle, mais ils ont des finalités différentes : la notification CNIL vise à protéger les personnes dont les données ont été compromises ; le dépôt de plainte vise à permettre l'enquête pénale et à conditionner l'indemnisation par l'assurance.

Où déposer plainte ?

  • En commissariat ou en gendarmerie : déplacez-vous avec les preuves collectées (captures d'écran, en-têtes de l'email, journaux de connexion, chronologie des faits). Demandez explicitement que la plainte mentionne les articles du Code pénal applicables.
  • En ligne via THESEE : la plateforme THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les e-Escroqueries) permet de déposer plainte en ligne pour les escroqueries sur internet. Attention : THESEE est pour l'instant réservé aux particuliers. Les entreprises doivent se déplacer en commissariat ou en gendarmerie, ou écrire au procureur de la République.
  • Par courrier au procureur de la République : envoyez une plainte écrite au tribunal judiciaire dont dépend le siège de votre entreprise. Joignez toutes les preuves.

Articles du Code pénal applicables :

  • Article 323-1 : accès frauduleux à un système de traitement automatisé de données (3 ans d'emprisonnement, 100 000 € d'amende ; 5 ans et 150 000 € si modification ou suppression de données)
  • Article 313-1 : escroquerie (5 ans et 375 000 € ; aggravée à 7 ans et 750 000 € via moyen de communication électronique)
  • Article 226-4-1 : usurpation d'identité (1 an et 15 000 €)

Signalements complémentaires

En plus du dépôt de plainte et de la notification CNIL, effectuez les signalements suivants selon la situation :

Cybermalveillance.gouv.fr : Rendez-vous sur cybermalveillance.gouv.fr/signalement. La plateforme propose un parcours de diagnostic en ligne qui identifie le type d'attaque et vous oriente vers les bonnes démarches. Elle peut aussi vous mettre en relation avec des prestataires référencés pour l'assistance technique.

17Cyber : Le dispositif 17Cyber est le guichet unique de l'État pour les victimes de cybermalveillance. Il permet un diagnostic immédiat et, si nécessaire, une mise en relation par tchat avec un policier ou gendarme spécialisé.

Signal Spam : Si l'attaque est arrivée par email, signalez le message sur signal-spam.fr. Signal Spam est un partenariat entre la CNIL et les acteurs de la lutte contre le spam. Votre signalement alimente les bases de données de blocage.

Phishing Initiative : Signalez l'URL du site de phishing sur phishing-initiative.eu. La plateforme vérifie l'URL et, si elle est confirmée comme frauduleuse, la fait bloquer par les navigateurs web (Chrome, Firefox, Edge).

PHAROS : Pour signaler un contenu illicite en ligne (faux site, page d'hameçonnage), utilisez la plateforme internet-signalement.gouv.fr.

INFO ESCROQUERIES : Pour être guidé dans vos démarches, appelez le 0 805 805 817 (appel gratuit, du lundi au vendredi de 9h à 18h30). Les conseillers du ministère de l'Intérieur vous orientent vers les bons interlocuteurs.

CERT-FR (ANSSI) : Si l'incident est majeur (compromission de données sensibles, attaque ciblée, impact sur la continuité d'activité), contactez le CERT-FR au 3218 ou par email à cert-fr@ssi.gouv.fr. L'ANSSI intervient principalement auprès des opérateurs d'importance vitale (OIV) et des entités régulées, mais elle reçoit et traite tous les signalements. Depuis 2025, le service gratuit MesServicesCyber de l'ANSSI est accessible à toutes les entités publiques et privées.

Les 48 heures suivantes : remédiation technique

Le confinement est en place, les obligations légales sont lancées. Passez à la remédiation technique approfondie.

Scan antivirus et EDR

Lancez un scan antivirus complet sur le poste compromis, et sur tout poste qui aurait reçu l'email de phishing, même si l'utilisateur affirme ne pas avoir cliqué. Utilisez un outil de détection et réponse sur les endpoints (EDR) si votre entreprise en dispose. Un antivirus classique peut rater un malware récent ; un EDR analyse les comportements suspects en temps réel.

Si l'employé a téléchargé une pièce jointe ou un fichier, soumettez-le à un service d'analyse en sandbox (comme VirusTotal ou Any.Run) pour comprendre ce que le fichier fait.

Audit des comptes compromis

Vérifiez l'activité du compte compromis sur les 48 heures précédant et suivant l'incident :

  • Emails envoyés : l'attaquant a-t-il envoyé des messages depuis le compte ? À qui ? Avec quelles pièces jointes ?
  • Fichiers consultés ou téléchargés : sur OneDrive, SharePoint, ou Google Drive, l'attaquant a-t-il accédé à des documents ?
  • Modifications de permissions : l'attaquant a-t-il partagé des fichiers ou des dossiers avec des adresses externes ?
  • Consentements d'application : dans Entra ID ou Google, l'attaquant a-t-il autorisé des applications tierces à accéder au compte ? Ces consentements persistent après le changement de mot de passe : révoquez-les.
  • Mots de passe d'application : certains services permettent de créer des mots de passe d'application qui contournent l'authentification multifacteur. Vérifiez et supprimez tout mot de passe d'application inconnu.

Vérification des comptes utilisant le même mot de passe

Si l'employé a réutilisé le mot de passe compromis sur d'autres services (compte personnel, autre plateforme professionnelle), considérez ces comptes comme compromis. Changez les mots de passe sur tous ces services. C'est le moment d'imposer un gestionnaire de mots de passe à l'échelle de l'entreprise si ce n'est pas déjà fait.

Activation de l'authentification multifacteur (MFA)

Si le compte compromis n'avait pas de MFA activé, activez-le immédiatement. Si le MFA était déjà activé, vérifiez que l'attaquant n'a pas ajouté un nouveau facteur d'authentification (numéro de téléphone, application d'authentification) à son profit. Supprimez tout facteur non reconnu par l'utilisateur.

Privilégiez les méthodes MFA résistantes au phishing : clés de sécurité matérielles (FIDO2/WebAuthn) ou passkeys. Les codes SMS sont vulnérables au SIM swapping ; les codes par application d'authentification sont vulnérables aux attaques de type adversary-in-the-middle (AiTM) qui interceptent les tokens en temps réel.

Vérification des sauvegardes

Avant toute opération de nettoyage, vérifiez l'état de vos sauvegardes. Si le poste compromis héberge des données critiques non sauvegardées ailleurs, effectuez une copie de sauvegarde (sur un support isolé) avant de lancer le nettoyage. Les opérations de remédiation, suppression de malware, restauration de fichiers, peuvent entraîner des pertes de données.

Vérifiez aussi que les sauvegardes récentes ne contiennent pas de fichiers malveillants. Si l'attaquant a déposé un malware sur un dossier synchronisé avec le cloud (OneDrive, Google Drive), le malware a pu être sauvegardé automatiquement. Restaurer une sauvegarde contaminée revient à réinfecter le système.

Blocage du domaine et de l'URL de phishing

Au niveau du pare-feu ou du proxy de l'entreprise, bloquez le domaine et l'URL utilisés par l'attaquant. Si votre entreprise utilise un filtre DNS (OpenDNS, Cloudflare Gateway, ou un service similaire), ajoutez le domaine à la liste de blocage. Cela empêche tout autre employé de visiter le site de phishing : même si l'email est encore dans leur boîte de réception.

Ajoutez aussi l'adresse email de l'expéditeur (et le domaine d'envoi) à la liste de blocage de votre filtre anti-spam. Configurez une règle de transport dans Exchange ou Google Workspace pour supprimer automatiquement les emails futurs provenant de ce domaine.

Analyse des en-têtes de l'email de phishing

Les en-têtes de l'email contiennent des informations techniques sur le chemin suivi par le message : l'adresse IP d'envoi, le serveur de messagerie utilisé, les résultats d'authentification (SPF, DKIM, DMARC). Ces informations sont utiles pour le dépôt de plainte et pour renforcer les filtres anti-phishing.

Vérifiez en particulier :

  • Le champ From (expéditeur affiché) vs le champ Return-Path (expéditeur réel) : s'ils diffèrent, l'identité de l'expéditeur est usurpée
  • Les résultats SPF et DKIM : si l'email échoue à ces vérifications, votre filtre anti-spam aurait dû le bloquer : investiguez pourquoi il ne l'a pas fait
  • L'adresse IP d'origine : elle peut être communiquée aux forces de l'ordre pour l'enquête
  • Les en-têtes Received : ils tracent le chemin de l'email de serveur en serveur et peuvent révéler le service d'envoi utilisé par l'attaquant (serveur compromis, service d'emailing légitime détourné, infrastructure dédiée)

Conservez l'email original complet (avec en-têtes) dans un fichier .eml. Ce fichier constitue une pièce à conviction numérique. Ne le modifiez pas, ne le transférez pas (le transfert altère les en-têtes) : exportez-le directement depuis le client mail.

Renforcement immédiat des filtres

Profitez de l'incident pour renforcer les filtres anti-phishing :

  • DMARC : si votre domaine n'a pas de politique DMARC, créez-en une. Commencez en mode « none » (observation), puis passez à « quarantine » après deux semaines d'analyse, et enfin à « reject ». Une politique DMARC en « reject » empêche l'usurpation de votre domaine : ce qui protège vos clients et partenaires autant que vous-même.
  • Bannière d'avertissement : configurez une bannière sur les emails provenant de l'extérieur (« Ce message provient d'un expéditeur externe : vérifiez l'identité de l'expéditeur avant de cliquer »). Microsoft 365 et Google Workspace proposent cette fonctionnalité. Elle ne bloque rien, mais elle crée un signal visuel qui active le réflexe de vérification.
  • Blocage des macros Office : si votre entreprise n'a pas besoin de macros dans les documents Office, bloquez-les par défaut via stratégie de groupe. Les macros restent l'un des vecteurs de malware les plus fréquents dans les pièces jointes de phishing.

Communication interne

Un incident de phishing concerne toute l'entreprise, pas seulement la personne qui a cliqué. La communication doit être rapide, factuelle, et bienveillante.

Communication à l'équipe

Envoyez un message à l'ensemble des collaborateurs dans l'heure qui suit la confirmation de l'incident. Le ton doit être informatif, pas alarmiste. L'objectif : prévenir que d'autres employés cliquent sur le même email, et les rassurer sur les actions en cours.

Modèle de communication interne :

Objet : Alerte sécurité : email de phishing détecté

Un email frauduleux a été identifié dans nos boîtes de réception aujourd'hui. L'email se présente comme [décrire brièvement : un message de Microsoft / une facture fournisseur / un email de la direction] et contient un lien vers une fausse page de connexion.

Si vous avez reçu cet email : ne cliquez pas sur le lien. Supprimez-le immédiatement. Si vous l'avez déjà transféré à quelqu'un, prévenez cette personne.

Si vous avez cliqué sur le lien ou saisi des informations : contactez immédiatement [nom/service] au [numéro/email]. Aucune sanction ne sera prise : signaler rapidement limite les dégâts.

L'incident est pris en charge par [équipe IT / prestataire]. Nous vous tiendrons informés si des actions supplémentaires sont nécessaires de votre part.

Ne nommez jamais la personne qui a cliqué. L'anonymat de la victime est fondamental pour maintenir une culture de signalement. Si les employés savent que leur erreur sera rendue publique, ils ne signaleront plus rien, et l'entreprise découvrira le prochain incident trop tard.

Briefing direction

Informez le dirigeant et les membres du comité de direction par un canal séparé (appel téléphonique ou réunion en personne, pas par email si la messagerie est potentiellement compromise). Communiquez :

  • Les faits : type d'attaque, nombre de personnes affectées, données potentiellement exposées
  • Les actions prises : confinement, changement de mots de passe, signalements
  • Les obligations légales en cours : notification CNIL (si applicable), dépôt de plainte (LOPMI)
  • L'évaluation du risque financier : frais de remédiation, impact assurance, risque de sanctions CNIL
  • Les décisions à prendre : communication externe (clients, partenaires), activation de l'assurance cyber

Notification aux personnes concernées (RGPD Article 34)

Si l'incident présente un risque élevé pour les droits et libertés des personnes dont les données ont été compromises, vous devez les informer directement, dans les meilleurs délais, en langage clair.

Modèle de notification aux personnes concernées :

Objet : Information concernant un incident de sécurité affectant vos données

Nous vous informons qu'un incident de sécurité survenu le [date] a pu affecter certaines de vos données personnelles : [préciser les catégories de données : nom, email, numéro de téléphone, etc.].

L'incident a été détecté le [date] et des mesures immédiates ont été prises : [résumer les actions]. Une notification a été adressée à la CNIL conformément au RGPD.

Nous vous recommandons de [actions recommandées : changer vos mots de passe, surveiller vos comptes, etc.].

Pour toute question, contactez notre DPO (délégué à la protection des données) : [coordonnées].

Communication aux clients et partenaires

Si l'attaquant a utilisé le compte compromis pour envoyer des emails à des contacts externes (clients, fournisseurs, partenaires), vous devez les prévenir rapidement et par un canal différent de l'email.

Par téléphone (prioritaire pour les contacts qui ont reçu un email frauduleux) :

  • Expliquez la situation : « Un email frauduleux a été envoyé depuis notre adresse. Ne cliquez sur aucun lien et ne répondez pas à ce message. »
  • Demandez-leur de supprimer l'email et de vous confirmer qu'ils n'ont pas cliqué

Par email (envoyé depuis un compte propre, pas depuis le compte compromis) :

  • Envoyez un message factuel à tous les contacts susceptibles d'avoir reçu l'email frauduleux
  • Précisez l'objet et l'heure approximative de l'email frauduleux
  • Indiquez les actions à prendre (supprimer, ne pas cliquer)
  • Fournissez un contact téléphonique pour les questions

La rapidité de cette communication protège votre réputation. Un client prévenu par vos soins pardonnera l'incident. Un client qui découvre la fraude par lui-même, ou pire, après avoir cliqué, perdra confiance.

Registre interne des violations

Indépendamment de la notification à la CNIL, le RGPD (article 33, alinéa 5) impose à tout responsable de traitement de tenir un registre interne des violations de données. Ce registre doit documenter chaque violation, ses effets, et les mesures de remédiation. La CNIL peut le demander lors d'un contrôle.

Pour chaque incident, le registre doit contenir :

  • La date et l'heure de la violation
  • La date et l'heure de la découverte
  • La nature de la violation (accès non autorisé, divulgation, etc.)
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories de données concernées
  • Les conséquences probables
  • Les mesures prises pour remédier à la violation
  • La décision de notification (ou de non-notification) à la CNIL, avec justification
  • La décision d'information (ou de non-information) des personnes concernées, avec justification

Même si l'incident n'atteint pas le seuil de notification à la CNIL (pas de risque pour les personnes), il doit figurer dans ce registre. C'est votre preuve de conformité en cas de contrôle.

Assurance cyber : déclarer le sinistre

Si votre entreprise dispose d'une assurance cyber, déclarez le sinistre dans les délais contractuels : généralement 5 jours ouvrés maximum après la découverte de l'incident. Certains contrats imposent un délai plus court (48 heures). Vérifiez votre police.

Condition préalable : le dépôt de plainte

Depuis la loi LOPMI (24 avril 2023), l'indemnisation par l'assurance est conditionnée au dépôt de plainte dans les 72 heures. Sans plainte, pas d'indemnisation : quelle que soit la couverture de votre contrat.

Documents à préparer pour l'assureur

  • Copie du dépôt de plainte (récépissé)
  • Chronologie détaillée de l'incident (heure de détection, actions prises, personnes impliquées)
  • Captures d'écran de l'email de phishing et du site frauduleux
  • Journaux de connexion montrant l'activité suspecte
  • Liste des données potentiellement compromises
  • Copie de la notification CNIL (si applicable)
  • Estimation des coûts : frais de remédiation technique, perte d'exploitation, frais juridiques, coûts de notification

Ce que couvre (et ne couvre pas) l'assurance cyber

Généralement couvert :

  • Frais de remédiation technique (intervention d'experts, restauration des systèmes)
  • Frais de notification aux personnes concernées
  • Frais juridiques (conseil, représentation)
  • Perte d'exploitation (si l'incident interrompt l'activité)
  • Frais de gestion de crise (communication de crise, relations publiques)

Couverture variable selon les contrats :

  • Fraude par ingénierie sociale (virement frauduleux après phishing) : certains contrats excluent cette garantie ou appliquent des sous-limites
  • Rançon (ransomware) : couverture controversée et de plus en plus restreinte
  • Amendes et sanctions réglementaires (CNIL) : généralement exclues car considérées comme inassurables

Attention aux exclusions : Vérifiez si votre contrat exige des mesures de sécurité préalables (antivirus à jour, sauvegardes régulières, MFA activé, formation des employés). Si ces conditions ne sont pas remplies au moment de l'incident, l'assureur peut refuser l'indemnisation. La formation à la cybersécurité est de plus en plus exigée par les assureurs : consultez notre article sur l'assurance cyber et la preuve de formation.

Post-incident : tirer les leçons

L'incident est maîtrisé. La tentation est de passer à autre chose et d'oublier. C'est une erreur. L'analyse post-incident est ce qui empêche le même scénario de se reproduire.

Analyse post-mortem

Organisez une réunion post-mortem dans les 5 à 10 jours suivant la clôture de l'incident. Réunissez les personnes impliquées : la personne qui a cliqué (si elle le souhaite), le responsable IT, le prestataire externe, la direction.

Structure de l'analyse post-mortem (inspirée du cadre NIST SP 800-61 Rev. 3, aligné sur le Cybersecurity Framework 2.0) :

Chronologie des faits :

  • À quelle heure l'email a-t-il été envoyé ?
  • À quelle heure l'employé a-t-il cliqué ?
  • À quelle heure l'incident a-t-il été signalé en interne ?
  • Combien de temps s'est écoulé entre le clic et le changement de mot de passe ?
  • L'attaquant a-t-il eu le temps d'exploiter l'accès ?

Analyse de la cause racine :

  • Pourquoi le filtre anti-spam n'a-t-il pas bloqué l'email ?
  • L'email présentait-il des signes détectables (domaine suspect, absence de DKIM, fautes d'orthographe) ?
  • Le compte compromis avait-il le MFA activé ?
  • L'employé avait-il reçu une formation récente sur le phishing ?
  • L'employé savait-il comment signaler un email suspect ?

Évaluation de la réponse :

  • La procédure de réponse a-t-elle été suivie ?
  • Les délais de confinement étaient-ils acceptables ?
  • Les obligations légales ont-elles été respectées dans les délais ?
  • Quels outils ou procédures ont manqué ?

Actions correctives :

  • Améliorations techniques (MFA, filtre anti-spam, formation)
  • Améliorations organisationnelles (procédure de signalement, communication de crise)
  • Améliorations humaines (formation renforcée, simulation de phishing)

Documenter les résultats

Rédigez un rapport post-mortem écrit. Ce document sert de référence pour les incidents futurs, de preuve de diligence pour l'assurance et la CNIL, et de base pour les améliorations.

Le rapport doit inclure :

  • Un résumé exécutif (une page maximum, destiné à la direction)
  • La chronologie complète (avec horodatage précis)
  • L'analyse technique (vecteur d'attaque, périmètre de compromission, données exposées)
  • L'évaluation de la réponse (ce qui a fonctionné, ce qui a échoué, les délais)
  • Les actions correctives décidées, avec un responsable et une date d'échéance pour chacune
  • Les coûts directs et indirects de l'incident

Conservez ce rapport dans un emplacement sécurisé, accessible uniquement aux personnes autorisées. Il contient des informations sensibles sur les vulnérabilités de l'entreprise.

Mise à jour des procédures

Après le post-mortem, mettez à jour votre procédure de réponse à incident. Chaque incident révèle des lacunes : la procédure doit évoluer en conséquence. Documentez les modifications et partagez-les avec les personnes concernées.

Les améliorations les plus fréquentes après un premier incident de phishing :

  • Création d'un bouton « Signaler un email suspect » dans le client mail (réduit le temps de signalement de plusieurs heures à quelques secondes)
  • Activation du MFA sur tous les comptes (la mesure qui aurait prévenu 90 % des compromissions d'identifiants)
  • Mise en place d'une politique DMARC en mode « reject » sur le domaine de l'entreprise
  • Abonnement à un service de simulation de phishing pour entraîner les réflexes
  • Rédaction d'un guide interne « que faire si je reçois un email suspect » : affiché dans les bureaux et envoyé à chaque nouvel embauché

Formation de la personne impactée

La personne qui a cliqué se sent probablement coupable, stressée, voire humiliée. La réponse de l'entreprise à ce moment est déterminante pour la culture de sécurité.

Ce qu'il faut faire :

  • Rassurer : « Le phishing exploite le fonctionnement normal du cerveau. N'importe qui peut cliquer : y compris les responsables IT (65 % d'entre eux ont déjà cliqué, selon Arctic Wolf 2025). »
  • Proposer une formation individuelle courte (15 minutes) ciblée sur le type de phishing qui a fonctionné
  • Inclure la personne dans le programme de simulation de phishing si ce n'est pas déjà fait

Ce qu'il ne faut pas faire :

  • Nommer la personne devant l'équipe
  • Appliquer une sanction disciplinaire (sauf faute intentionnelle ou récidive caractérisée après formation)
  • Utiliser l'incident comme « exemple » lors d'une réunion d'équipe

Pour comprendre pourquoi même les experts cliquent, consultez notre article sur la psychologie du phishing et les biais cognitifs.

Évitez le prochain incident. nophi.sh lance des simulations de phishing mensuelles avec formation automatisée après chaque clic. Vos collaborateurs s'entraînent à repérer les emails frauduleux avant qu'un vrai incident ne se produise. Créer un compte gratuitement - première campagne en 15 minutes.

Simulation de phishing de suivi

Dans les 2 à 4 semaines suivant l'incident, lancez une simulation de phishing ciblée. L'objectif n'est pas de « tester » la victime : c'est de vérifier que les réflexes de signalement fonctionnent à l'échelle de l'entreprise, et que l'incident a renforcé la vigilance collective.

Les données montrent que les organisations qui lancent une simulation dans le mois suivant un incident réel voient leur taux de signalement augmenter de 40 % en moyenne (SANS Security Awareness 2025). L'incident réel crée un ancrage émotionnel qui renforce l'apprentissage : à condition que la simulation soit accompagnée d'une remédiation bienveillante.

Pour mettre en place un programme de simulation, consultez notre guide complet de la simulation de phishing en entreprise.

Checklist de réponse à incident phishing

Imprimez cette checklist. Affichez-la dans le bureau du responsable informatique et dans celui du dirigeant. Le jour J, cochez chaque case dans l'ordre. Les premières actions sont les plus urgentes : elles limitent l'accès de l'attaquant. Les actions suivantes activent le volet juridique et organisationnel.

Phase 0 : Préparation (avant tout incident)

  • Identifier qui est responsable de la réponse à incident dans l'entreprise
  • Disposer des accès administrateur aux comptes Microsoft 365 / Google Workspace
  • Avoir le numéro du prestataire informatique accessible sans passer par l'email
  • Connaître les coordonnées du DPO (ou du responsable RGPD)
  • Avoir une copie de la police d'assurance cyber accessible hors ligne
  • Former au moins deux personnes aux 6 premières actions de confinement

Phase 1 : Les 15 premières minutes

  1. Déconnecter le poste du réseau (Wi-Fi OFF, câble débranché)
  2. NE PAS éteindre l'ordinateur
  3. Changer le mot de passe compromis (depuis un autre appareil)
  4. Révoquer toutes les sessions actives (Entra ID / Google Workspace)
  5. Vérifier et supprimer les règles de transfert d'email suspectes
  6. Alerter l'équipe IT / le prestataire par téléphone
  7. Prendre des captures d'écran de l'email, de l'URL, des en-têtes

Phase 2 : La première heure

  1. Identifier le type de phishing (vol d'identifiants, malware, BEC)
  2. Inventorier les données accessibles depuis le compte compromis
  3. Vérifier les journaux de connexion pour détecter une exploitation
  4. Classifier l'incident (niveau 1, 2 ou 3)
  5. Envoyer une alerte de sécurité à tous les collaborateurs

Phase 3 : Les 24 premières heures

  1. Évaluer l'obligation de notification CNIL (données personnelles compromises ?)
  2. Si applicable : notifier la CNIL via le téléservice en ligne
  3. Déposer plainte (commissariat, gendarmerie, ou procureur de la République)
  4. Signaler sur Cybermalveillance.gouv.fr et/ou 17Cyber
  5. Signaler l'email sur Signal Spam et l'URL sur Phishing Initiative
  6. Briefer la direction (par téléphone, pas par email)

Phase 4 : Les 48 heures suivantes

  1. Scanner le poste compromis (antivirus/EDR)
  2. Auditer l'activité du compte sur les 48 dernières heures
  3. Vérifier les consentements d'application et mots de passe d'application
  4. Activer ou vérifier le MFA
  5. Bloquer le domaine/URL de phishing au niveau du pare-feu
  6. Changer le mot de passe sur tous les services où il était réutilisé
  7. Si données personnelles exposées : informer les personnes concernées (RGPD Art. 34)

Phase 5 : La première semaine

  1. Déclarer le sinistre à l'assurance cyber (sous 5 jours ouvrés)
  2. Préparer le dossier pour l'assureur (plainte, chronologie, preuves, estimation des coûts)
  3. Organiser la réunion post-mortem
  4. Documenter les actions correctives
  5. Mettre à jour la procédure de réponse à incident
  6. Planifier une simulation de phishing de suivi (dans 2 à 4 semaines)

Cas particuliers

L'employé a téléchargé une pièce jointe malveillante

Si l'employé a ouvert une pièce jointe (fichier Word avec macro, PDF piégé, exécutable déguisé), le poste est potentiellement infecté par un malware. En plus des actions standards de confinement :

  • Isolez le poste du réseau immédiatement : le malware peut tenter de se propager latéralement vers d'autres machines du réseau
  • Ne redémarrez pas le poste : certains malwares se désactivent au redémarrage pour échapper à la détection, d'autres persistent mais effacent leurs traces du disque
  • Faites analyser le poste par un professionnel : un scan antivirus ne suffit pas. Un expert en forensique peut identifier le type de malware, son objectif (exfiltration, persistance, ransomware), et déterminer s'il a communiqué avec un serveur de commande et contrôle (C2)
  • Vérifiez les autres postes du réseau : si le malware est un ver (worm) ou s'il se propage via des partages réseau, d'autres machines peuvent être infectées
  • Conservez le fichier malveillant : ne le supprimez pas. Placez-le en quarantaine. Il sera nécessaire pour l'analyse forensique et le dépôt de plainte

L'employé a effectué un virement frauduleux (BEC)

La fraude au virement (Business Email Compromise) est le scénario le plus coûteux. Si un virement a été émis vers un compte frauduleux :

  • Contactez votre banque immédiatement : dans les minutes qui suivent la découverte. La banque peut tenter un rappel de fonds (recall) si le virement n'a pas encore été crédité. Les chances de récupération diminuent drastiquement après 24 heures et deviennent quasi nulles après 72 heures pour les virements internationaux.
  • Demandez le blocage du compte bénéficiaire : la banque peut contacter la banque destinataire pour geler le compte
  • Déposez plainte immédiatement : le délai de 72 heures LOPMI est un maximum, pas un objectif. Pour les fraudes au virement, chaque heure compte
  • Conservez toute la chaîne d'emails : les emails de demande de virement, les validations internes, les confirmations bancaires
  • Vérifiez si d'autres virements frauduleux ont été émis : les attaquants ne s'arrêtent pas toujours à un seul virement

Le coût moyen d'une fraude au président en France est de 150 000 euros (données Vade 2024). Les cas les plus graves dépassent le million d'euros.

Si le virement a été émis vers un compte étranger (scénario fréquent), le rappel de fonds implique une coopération bancaire internationale. La banque française contacte la banque étrangère via le réseau SWIFT. Le délai et le résultat dépendent du pays de destination et de la réactivité de la banque locale. Les pays d'Europe occidentale coopèrent généralement bien ; les transferts vers l'Asie du Sud-Est, l'Europe de l'Est ou l'Afrique de l'Ouest sont beaucoup plus difficiles à récupérer.

Parallèlement au circuit bancaire, le dépôt de plainte permet aux enquêteurs d'émettre des demandes d'entraide pénale internationale via Interpol ou Europol. Ces procédures sont lentes (plusieurs mois) mais peuvent aboutir au gel d'avoirs à l'étranger.

Plusieurs employés ont cliqué (campagne de masse)

Si l'email de phishing a touché plusieurs employés, l'incident change d'échelle. Passez en mode gestion de crise :

  • Identifiez tous les employés qui ont reçu l'email : recherchez l'objet et l'expéditeur dans les journaux de la messagerie
  • Supprimez l'email de toutes les boîtes de réception : sur Microsoft 365, utilisez la fonction « Soft delete » via le Centre de conformité ou PowerShell (Search-Mailbox ou New-ComplianceSearch). Sur Google Workspace, utilisez l'outil de recherche dans la console d'administration.
  • Contactez individuellement chaque personne qui a cliqué : ne vous fiez pas à un email collectif pour identifier les victimes. Appelez-les une par une.
  • Appliquez la procédure de confinement à chaque compte compromis : changement de mot de passe, révocation de sessions, vérification des règles de transfert
  • Évaluez si l'attaquant a utilisé un compte compromis pour lancer une attaque interne : un email de phishing envoyé depuis un compte légitime de l'entreprise est beaucoup plus dangereux qu'un email externe

Le dirigeant a été compromis

La compromission du compte d'un dirigeant est le scénario le plus grave, pour trois raisons :

  1. Accès étendu : le compte du dirigeant a souvent accès à des données sensibles (stratégie, finances, RH, juridique)
  2. Crédibilité maximale : un email envoyé depuis le compte du PDG a un taux de réponse quasi-total auprès des collaborateurs
  3. Impact réputationnel : si des emails frauduleux sont envoyés aux clients ou partenaires depuis le compte du dirigeant, l'image de l'entreprise est directement touchée

Actions spécifiques :

  • Changez immédiatement les mots de passe de tous les services auxquels le dirigeant a accès (messagerie, ERP, CRM, banque en ligne, signature électronique)
  • Vérifiez les emails envoyés depuis le compte dans les heures suivant la compromission : si des demandes de virement ou des emails frauduleux ont été envoyés, contactez immédiatement les destinataires
  • Prévenez les clients et partenaires si des emails frauduleux ont été envoyés depuis le compte du dirigeant, par un canal de communication séparé (téléphone, courrier)
  • Engagez un audit de sécurité complet : la compromission d'un compte dirigeant justifie une analyse forensique approfondie pour vérifier l'absence de persistance
  • Évaluez l'impact juridique : si le dirigeant est le représentant légal de l'entreprise, sa signature électronique peut avoir été utilisée pour valider des documents. Vérifiez les dernières signatures et validations effectuées depuis son compte.

L'incident survient un vendredi soir ou pendant les congés

Les attaquants ciblent volontairement les périodes de faible vigilance : vendredi après-midi, veilles de jours fériés, périodes de congés. Si l'incident survient à un moment où l'équipe IT est absente ou réduite :

  • Appliquez les 6 premiers réflexes de la phase de confinement : ils ne nécessitent pas d'expertise technique avancée. N'importe quel collaborateur formé peut déconnecter un poste, changer un mot de passe et révoquer des sessions.
  • Contactez votre prestataire informatique par téléphone : les contrats de maintenance incluent souvent une astreinte ou un numéro d'urgence
  • Ne reportez pas au lundi : un attaquant qui prend le contrôle d'un compte le vendredi soir dispose de tout le week-end pour exploiter l'accès, envoyer des emails frauduleux, et installer des mécanismes de persistance
  • Le délai LOPMI de 72 heures ne s'interrompt pas pendant le week-end : si vous découvrez l'incident vendredi à 17h, vous avez jusqu'à lundi 17h pour déposer plainte

Questions fréquentes

Faut-il payer si c'est un ransomware ?

La position officielle de l'ANSSI et du gouvernement français est de ne jamais payer la rançon. Payer ne garantit pas la récupération des données (40 % des entreprises qui paient ne récupèrent pas l'intégralité de leurs fichiers selon Sophos 2024), finance les organisations criminelles, et fait de votre entreprise une cible prioritaire pour de futures attaques. La loi LOPMI n'interdit pas le paiement, mais elle le conditionne au dépôt de plainte dans les 72 heures. Concentrez vos ressources sur la restauration depuis les sauvegardes et la reconstruction des systèmes compromis.

Peut-on licencier un employé qui a cliqué sur un phishing ?

Le droit du travail français ne prévoit pas de sanction automatique pour une erreur de ce type. Un clic sur un phishing ne constitue pas une faute professionnelle sauf circonstances exceptionnelles : récidive après formation documentée, violation délibérée d'une procédure de sécurité écrite et signée, ou intention malveillante. La jurisprudence française protège les salariés victimes d'ingénierie sociale : les tribunaux considèrent que l'employeur a l'obligation de former et de mettre en place des mesures techniques de protection. Licencier un employé pour avoir cliqué crée un précédent qui détruit la culture de signalement : plus personne ne signalera ses erreurs, et les incidents seront découverts trop tard.

L'entreprise risque-t-elle une amende CNIL si elle notifie un incident ?

Notifier un incident à la CNIL ne déclenche pas automatiquement une sanction. La CNIL sanctionne le manquement aux obligations de sécurité (absence de mesures de protection adéquates), pas l'incident en lui-même. En revanche, ne pas notifier un incident qui aurait dû l'être expose l'entreprise à une sanction pour non-respect de l'article 33 du RGPD : en plus de la sanction pour le manquement à la sécurité sous-jacent. La notification démontre la bonne foi de l'entreprise et sa volonté de conformité.

Combien coûte un incident de phishing pour une PME ?

Selon les données de Groupama (2025), le coût moyen d'un incident cyber pour une PME française est de 466 000 euros, incluant les frais de remédiation technique, la perte d'exploitation, les frais juridiques et de notification, et l'impact commercial. Pour un incident de phishing avec compromission d'identifiants sans exfiltration massive de données, les coûts sont généralement plus modestes : entre 5 000 et 50 000 euros pour la remédiation technique et les frais administratifs (dépôt de plainte, notification CNIL, déclaration d'assurance). Le vrai coût invisible est le temps perdu : chaque personne impliquée dans la réponse (dirigeant, IT, juridique, DPO) passe entre 20 et 60 heures sur l'incident. Pour une PME, c'est l'équivalent d'une à trois semaines de productivité perdue.

Que faire si l'employé a communiqué ses coordonnées bancaires ?

Si l'employé a saisi des coordonnées bancaires (numéro de carte, RIB, IBAN) sur un site de phishing :

  • Faites opposition immédiatement auprès de la banque (par téléphone, pas par email)
  • Surveillez les mouvements sur le compte pendant les semaines suivantes
  • Signalez la fraude à votre banque par écrit pour contester les opérations non autorisées : le Code monétaire et financier (articles L133-18 et L133-19) prévoit le remboursement des opérations non autorisées sauf négligence grave du titulaire
  • Déposez plainte : la plainte est nécessaire pour le remboursement bancaire dans les cas de fraude

Faut-il communiquer publiquement sur l'incident ?

Aucune obligation légale de communication publique n'existe pour les PME (contrairement aux sociétés cotées qui peuvent avoir des obligations de transparence vis-à-vis des marchés financiers). La communication publique est une décision stratégique, pas une obligation. En général, ne communiquez publiquement que si : des clients ou des partenaires ont été directement affectés (emails frauduleux envoyés depuis votre compte), l'incident a été médiatisé par une autre source, ou la transparence renforce votre crédibilité auprès de vos parties prenantes.

Comment prévenir le prochain incident ?

La prévention combine des mesures techniques, humaines et organisationnelles :

Technique : MFA sur tous les comptes (priorité absolue), filtre anti-phishing sur la messagerie (Microsoft Defender for Office 365, Google Workspace Security, ou solution tierce), politique DMARC en mode « reject » sur votre domaine (empêche l'usurpation de votre marque), filtre DNS pour bloquer les domaines malveillants connus.

Humain : programme de simulation de phishing régulier (une à deux simulations par mois), formation contextuelle (remédiation immédiate après chaque clic sur une simulation), bouton de signalement dans le client mail (simplifie le réflexe de signalement).

Organisationnel : procédure de vérification par téléphone pour les demandes sensibles (virements, changements de coordonnées bancaires), politique de mots de passe avec gestionnaire d'entreprise, procédure de réponse à incident documentée et testée, exercice de simulation de crise annuel.

Pour comprendre les mécanismes psychologiques que le phishing exploite et concevoir des formations efficaces, consultez notre article sur les statistiques du phishing en entreprise, notre guide de formation cybersécurité pour les PME, et notre guide pour reconnaître un email frauduleux.

Conclusion

Gérer un incident de phishing demande de la méthode, de la rapidité, et du sang-froid. Les 15 premières minutes sont les plus importantes : déconnecter, changer les mots de passe, révoquer les sessions, préserver les preuves. Les 72 heures suivantes activent le volet juridique : notification CNIL si des données personnelles sont compromises, dépôt de plainte pour conditionner l'indemnisation de l'assurance.

Mais la vraie leçon d'un incident de phishing n'est pas technique. Elle est organisationnelle. Chaque incident révèle des failles : un MFA absent, un filtre anti-spam mal configuré, une absence de procédure de signalement, une formation insuffisante. L'analyse post-mortem est ce qui empêche le prochain incident.

La meilleure réponse à un incident reste de ne pas avoir à la déclencher. Un programme de simulation de phishing régulier, des mesures techniques de base (MFA, DMARC, filtre DNS), et une culture d'entreprise qui valorise le signalement plutôt que de punir l'erreur : cette combinaison réduit le taux de clic sur les emails de phishing de 75 % en 12 mois (SANS Security Awareness 2025).

Le coût d'un programme de prévention est de quelques euros par employé par mois. Le coût d'un incident non préparé se chiffre en dizaines ou centaines de milliers d'euros : sans compter le stress, les nuits blanches, et l'impact sur la confiance des clients et des partenaires.

Selon le rapport annuel 2024 de Cybermalveillance.gouv.fr, le nombre de demandes d'assistance a progressé de 49,9 % en un an, atteignant plus de 420 000 demandes. L'hameçonnage reste la première menace, aussi bien pour les particuliers que pour les entreprises. Votre entreprise sera ciblée. La seule inconnue, c'est quand.

Ce guide est votre plan de bataille. Imprimez-le, partagez-le, testez-le. Et si vous voulez que vos employés développent le réflexe de signalement avant le vrai incident, lancez un programme de simulation.

Lancer votre première simulation de phishing | Découvrir les fonctionnalités