Comment reconnaître un email frauduleux : les 9 signaux que vos employés doivent connaître
Guide pratique pour identifier les emails de phishing en entreprise. 9 signaux concrets avec exemples réels, techniques de vérification, et procédure à suivre en cas de doute.
Votre DAF reçoit un email de DocuSign. Objet : « Signature requise - Facture #F-2847 ». L'email est bien formaté, le logo est le bon, le ton est professionnel. Elle clique sur « Examiner le document », saisit ses identifiants Microsoft 365 sur la page qui s'affiche.
Sauf que l'expéditeur était docu-sign@notif-secure.com, pas dce@docusign.net. La page de connexion était hébergée sur microsft-login.com, pas microsoft.com. Et la facture #F-2847 n'existe pas.
En 2024, 74 % des entreprises françaises ont été ciblées par au moins une tentative de phishing (Baromètre CESIN, 2025). Le temps médian entre la réception d'un email de phishing et le clic sur le lien : 21 secondes (Verizon DBIR, 2024). Vos employés ne lisent pas les emails suspects pendant cinq minutes en se posant des questions. Ils cliquent, ou ils ne cliquent pas. La décision se joue en quelques secondes.
Ce guide liste les 9 signaux concrets qui permettent de repérer un email frauduleux avant de cliquer. Chaque signal est illustré par un exemple réel tiré de campagnes observées en France entre 2024 et 2026. À la fin du guide, vous trouverez une procédure simple à suivre quand un email vous semble suspect, et une checklist imprimable pour vos équipes.
Signal 1 : l'adresse de l'expéditeur ne correspond pas à l'organisation
Le premier réflexe : regarder l'adresse email, pas le nom affiché.
Un email peut afficher « Service Client BNP Paribas » comme nom d'expéditeur tout en étant envoyé depuis service-bnp@secure-notifications.com. Le nom affiché est libre, n'importe qui peut y écrire ce qu'il veut. Seule l'adresse compte.
Exemples observés en France :
- « DocuSign » envoyé depuis docu-sign@notif-secure.com (le vrai domaine DocuSign est docusign.net)
- « Chronopost » envoyé depuis chronopost-livraison@suivi-colis.info (le vrai domaine est chronopost.fr)
- « Ameli » envoyé depuis contact@assurance-maladie-remboursement.com (le vrai domaine est ameli.fr)
Comment vérifier : cliquez sur le nom de l'expéditeur pour afficher l'adresse complète. Sur mobile, appuyez longuement sur le nom. Comparez le domaine (la partie après le @) avec le site officiel de l'organisation.
Attention aux domaines sosies. Les attaquants achètent des domaines qui ressemblent aux vrais : arnazon.com au lieu de amazon.com, bnp-paribas.info au lieu de bnpparibas.com. Vérifiez chaque lettre. En 2025, l'APWG a recensé plus de 4,8 millions de sites de phishing actifs dans le monde, la plupart utilisant des domaines sosies enregistrés quelques jours avant l'attaque (APWG, Phishing Activity Trends Report Q4 2024).
Signal 2 : le lien ne pointe pas où il prétend
Avant de cliquer sur un lien, passez votre souris dessus (sans cliquer). L'URL de destination s'affiche en bas à gauche de votre navigateur, ou dans une infobulle.
Ce qu'il faut vérifier :
- Le domaine dans l'URL correspond-il à l'organisation ? Un lien « Consultez votre facture EDF » qui pointe vers edf-facture.serveur-web.ru n'a rien à voir avec EDF.
- Le domaine utilise-t-il HTTPS ? L'absence de cadenas n'est plus un signal fiable (les attaquants utilisent HTTPS aussi), mais un lien en HTTP pur sur un site bancaire ou administratif est suspect.
- L'URL contient-elle des sous-domaines trompeurs ? Par exemple : bnpparibas.com.verification-compte.net. Le vrai domaine ici est verification-compte.net, pas bnpparibas.com. Le domaine est toujours la dernière partie avant le premier « / ».
Exemple réel : un email « Microsoft 365 » demande de « Vérifier votre compte » avec un bouton qui pointe vers login.microsoftonline.com.auth-verify.net. L'employé voit « microsoftonline.com » dans l'URL et pense que c'est légitime. Le vrai domaine est auth-verify.net.
Sur mobile, appuyez longuement sur le lien pour afficher l'URL sans l'ouvrir. Si vous ne pouvez pas vérifier le lien, ne cliquez pas.
Votre équipe hésite sur un email ? Au lieu de chercher les indices, il suffit de le transférer. nophi.sh analyse l'email en 30 secondes et rend un verdict : phishing, suspect ou légitime. Plus besoin de deviner.
Signal 3 : un sentiment d'urgence ou de menace
Les emails de phishing jouent sur la panique. Si un email vous pousse à agir dans les minutes qui suivent sous peine de conséquences, ralentissez.
Formulations classiques utilisées par les attaquants :
- « Votre compte sera suspendu dans 24 heures »
- « Action requise immédiatement sous peine de pénalités »
- « Tentative de connexion suspecte détectée - sécurisez votre compte maintenant »
- « Facture impayée - dernier rappel avant poursuites »
Les services légitimes n'imposent pas un délai de quelques heures pour une action administrative. Votre banque ne suspend pas votre compte parce que vous n'avez pas cliqué sur un lien dans l'heure. L'Assurance Maladie ne menace pas de supprimer vos remboursements par email.
Le mécanisme psychologique en jeu : les chercheurs en cybersécurité appellent cela le « détournement du Système 1 ». Le psychologue Daniel Kahneman distingue deux modes de pensée : le Système 1, rapide et instinctif, et le Système 2, lent et analytique. L'urgence artificielle force votre cerveau à rester en Système 1 et à agir sans réfléchir (Vishwanath et al., Computers in Human Behavior, 2018).
La parade est simple : quand un email vous met la pression, prenez 30 secondes pour vérifier par un autre canal. Appelez l'organisation au numéro officiel (pas celui dans l'email). Allez sur le site en tapant l'adresse vous-même dans le navigateur.
Signal 4 : une demande d'identifiants ou d'informations sensibles
Aucun service légitime ne demande votre mot de passe par email. Aucun. Ni Microsoft, ni Google, ni votre banque, ni l'administration fiscale, ni votre fournisseur d'énergie.
Si un email vous redirige vers une page de connexion, vérifiez l'URL de cette page avant de saisir quoi que ce soit. Et posez-vous la question : est-ce que je m'attendais à recevoir cet email ? Est-ce que j'ai initié cette action ?
Demandes suspectes fréquentes :
- « Confirmez votre mot de passe pour maintenir l'accès à votre compte »
- « Mettez à jour vos coordonnées bancaires pour recevoir votre remboursement »
- « Saisissez votre numéro de carte pour débloquer votre colis »
La CNIL rappelle que « les administrations publiques et les entreprises sérieuses ne demandent jamais la communication de données sensibles (mot de passe, coordonnées bancaires) par email ou SMS » (CNIL, recommandations sur le hameçonnage, 2024).
Signal 5 : des fautes inhabituelles ou un ton décalé
Les emails de phishing de 2020 étaient bourrés de fautes d'orthographe évidentes. Ce n'est plus le cas. En 2026, les attaquants utilisent des outils de rédaction assistée par IA, et les emails sont souvent impeccables grammaticalement.
Le signal a évolué : ne cherchez plus les fautes grossières, cherchez les décalages de ton.
Ce qui doit alerter :
- Un ton inhabituellement formel pour un interlocuteur que vous connaissez (votre patron qui vous vouvoie alors qu'il vous tutoie d'habitude)
- Des formulations qui ne correspondent pas au style habituel de l'organisation (« Cher(e) client(e) valorisé(e) »)
- Un mélange de langues ou de conventions typographiques (guillemets anglais dans un email censé venir d'une administration française)
- Des majuscules inhabituelles ou une ponctuation excessive (« URGENT !!! Votre colis est en ATTENTE !!! »)
Signal 6 : une pièce jointe inattendue
Vous n'attendiez pas de facture ? Vous n'avez pas demandé de document ? La pièce jointe est probablement piégée.
Types de fichiers à traiter avec précaution :
- .exe, .scr, .bat, .cmd : des exécutables. Ne les ouvrez jamais depuis un email.
- .zip, .rar, .7z contenant un exécutable : les attaquants compressent les fichiers malveillants pour contourner les filtres.
- .docm, .xlsm : des fichiers Office avec macros. Les macros peuvent exécuter du code sur votre poste.
- .pdf : les PDF peuvent contenir des liens malveillants ou exploiter des failles dans le lecteur PDF. Un PDF inattendu mérite vérification.
- .html : un fichier HTML en pièce jointe est presque toujours une tentative de phishing. Il affiche une fausse page de connexion directement sur votre poste, sans passer par un serveur distant (donc indétectable par les filtres réseau).
La règle : si vous n'attendiez pas la pièce jointe, ne l'ouvrez pas. Contactez l'expéditeur par un autre canal pour confirmer l'envoi.
Cybermalveillance.gouv.fr recommande de « ne jamais ouvrir les pièces jointes d'un message douteux, certaines contiennent des virus » et de « vérifier la plausibilité du message reçu en contactant directement l'organisme concerné » (Cybermalveillance.gouv.fr, fiche réflexe hameçonnage, 2025).
Signal 7 : vous n'êtes pas le destinataire logique
Vous recevez une demande de virement urgente de la part du PDG, mais vous travaillez au support technique. Le service RH vous envoie une « mise à jour de votre mutuelle » alors que vous avez quitté ce régime il y a six mois. Le service comptabilité reçoit une facture d'un fournisseur qui travaille exclusivement avec le service achats.
Les attaquants ne connaissent pas l'organigramme de votre entreprise. Ils envoient à des listes larges en espérant que quelqu'un mordra. Si l'email ne vous concerne logiquement pas, c'est un signal.
Cas particulier : la fraude au président. L'email semble venir de votre directeur général et demande un virement urgent et confidentiel. En France, la fraude au président a coûté plus de 400 millions d'euros aux entreprises françaises entre 2020 et 2024 (Office central pour la répression de la grande délinquance financière, 2024). Le point commun de ces fraudes : l'urgence, la confidentialité, et un destinataire qui n'ose pas vérifier auprès de sa hiérarchie.
La règle est absolue : toute demande financière reçue par email doit être confirmée par téléphone, en appelant au numéro habituel (pas un numéro fourni dans l'email).
Vos employés savent-ils reconnaître ces signaux sous pression ? Une chose est de lire ce guide. Une autre est de réagir correctement face à un faux email dans sa boîte de réception un mardi matin. Les simulations de phishing testent les vrais réflexes de vos équipes avec des scénarios réalistes. Ceux qui cliquent reçoivent un micro-cours de 3 minutes sur l'erreur qu'ils viennent de faire.
Signal 8 : l'email contient un QR code
Le « quishing » (phishing par QR code) a bondi de 400 % entre 2023 et 2025 selon l'ENISA (European Union Agency for Cybersecurity, Threat Landscape 2025). Les attaquants intègrent des QR codes dans les emails parce que les filtres anti-spam ne savent pas les analyser aussi bien que les liens textuels.
Exemples observés :
- Un email « Microsoft 365 » demande de scanner un QR code pour « réactiver l'authentification à deux facteurs »
- Une fausse facture PDF contient un QR code « pour consulter le détail en ligne »
- Un email « DHL » avec un QR code pour « reprogrammer la livraison »
La règle : ne scannez jamais un QR code reçu par email. Si l'organisation veut vous rediriger vers une page, elle peut utiliser un lien classique. Un QR code dans un email est presque toujours une tentative de contournement des filtres de sécurité.
Signal 9 : l'offre est trop belle
Un remboursement inattendu de l'Assurance Maladie. Un gain à un concours auquel vous n'avez pas participé. Une prime exceptionnelle de votre employeur. Un téléphone offert par votre opérateur.
Si vous n'avez rien demandé et qu'on vous offre quelque chose, l'email est frauduleux. Ce signal paraît évident à froid, mais il fonctionne encore : les campagnes de phishing exploitant de faux remboursements Ameli restent parmi les plus efficaces en France selon Cybermalveillance.gouv.fr (rapport d'activité 2024).
Que faire quand un email vous semble suspect
Vous avez repéré un ou plusieurs signaux. Voici la marche à suivre.
1. Ne cliquez sur rien
Pas de lien, pas de pièce jointe, pas de bouton « Se désinscrire ». Même le lien de désinscription peut être piégé.
2. Ne répondez pas
Répondre confirme à l'attaquant que votre adresse est active et surveillée. Il vous ciblera à nouveau.
3. Vérifiez par un autre canal
Si l'email semble venir d'un collègue, appelez-le. S'il prétend venir d'une organisation, allez sur le site officiel en tapant l'adresse vous-même (ne copiez pas le lien depuis l'email). Contactez le service client au numéro habituel.
4. Transférez l'email pour vérification
Si votre entreprise utilise un outil de vérification comme nophi.sh, transférez l'email suspect. L'IA analyse l'expéditeur, les liens, les en-têtes et les pièces jointes, et rend un verdict en 30 secondes : phishing confirmé, suspect, ou légitime. L'employé reçoit une explication des signaux identifiés, ce qui renforce son apprentissage à chaque vérification.
5. Signalez l'email
Utilisez le bouton « Signaler comme phishing » de votre client email (disponible sur Gmail, Outlook et la plupart des clients modernes). Si votre entreprise a un processus de signalement interne, suivez-le. Chaque signalement aide l'équipe sécurité à protéger les autres employés.
6. Si vous avez cliqué
Si vous avez déjà cliqué sur un lien ou saisi des informations, consultez notre guide de réponse à incident. Les 15 premières minutes sont déterminantes.
Checklist imprimable : les 9 signaux en un coup d'oeil
Affichez cette liste dans les espaces communs ou envoyez-la à vos équipes.
| # | Signal | Vérification |
|---|---|---|
| 1 | Adresse expéditeur suspecte | Cliquer sur le nom pour afficher l'adresse complète. Comparer le domaine avec le site officiel. |
| 2 | Lien douteux | Passer la souris sur le lien sans cliquer. Vérifier que le domaine correspond. |
| 3 | Urgence ou menace | Se demander : est-ce que cette organisation m'envoie habituellement ce type de message ? Vérifier par téléphone. |
| 4 | Demande d'identifiants | Ne jamais saisir un mot de passe depuis un lien reçu par email. Aller directement sur le site officiel. |
| 5 | Ton décalé | Comparer avec les emails habituels de cet expéditeur. |
| 6 | Pièce jointe inattendue | Ne pas ouvrir. Contacter l'expéditeur par un autre canal. |
| 7 | Destinataire illogique | Se demander : est-ce que cette demande me concerne ? |
| 8 | QR code dans un email | Ne jamais scanner. Les organisations légitimes utilisent des liens. |
| 9 | Offre trop belle | Si vous n'avez rien demandé, c'est faux. |
La différence entre savoir et faire
Vos employés connaissent probablement déjà la plupart de ces signaux. Le problème n'est pas le manque de connaissance, c'est le comportement sous pression. Un employé qui lit ce guide un mardi matin, calme et concentré, repérera un email frauduleux. Le même employé, un vendredi à 17h avec trois dossiers urgents, cliquera sur le faux DocuSign sans vérifier l'adresse de l'expéditeur.
C'est la raison pour laquelle les guides écrits ne suffisent pas. La formation anti-phishing efficace passe par la pratique répétée : des simulations régulières qui testent les vrais réflexes, dans les vraies conditions de travail, suivies d'un retour immédiat quand l'employé se trompe.
Le taux de clic moyen sur un email de phishing sans formation préalable est de 33 % (KnowBe4, Phishing By Industry Benchmarking Report 2025, sur 67,7 millions de simulations). Après 12 mois de simulations régulières avec formation au moment de l'erreur, il tombe à moins de 5 %.
Testez les réflexes de vos équipes. Lancez votre première simulation en 15 minutes. Essai gratuit. Aucune installation requise.
Sources
- CESIN, Baromètre de la cybersécurité des entreprises, édition 2025
- Verizon, Data Breach Investigations Report 2024
- APWG, Phishing Activity Trends Report Q4 2024
- ENISA, Threat Landscape 2025
- CNIL, recommandations sur le hameçonnage, 2024
- Cybermalveillance.gouv.fr, fiche réflexe hameçonnage, 2025
- Cybermalveillance.gouv.fr, rapport d'activité 2024
- ANSSI (cyber.gouv.fr), bonnes pratiques de sécurité numérique
- KnowBe4, Phishing By Industry Benchmarking Report 2025
- Office central pour la répression de la grande délinquance financière, 2024
- Vishwanath A. et al., « Suspicion, Cognition, and Automaticity Model of Phishing Susceptibility », Computers in Human Behavior, 2018
Lancer votre première simulation de phishing | Que faire si un employé a cliqué