Vous avez cliqué sur un lien dans un e-mail, puis quelque chose vous a semblé bizarre. Peut-être une page qui demandait votre mot de passe, une pièce jointe qui s’est ouverte sans que vous ne l’ayez vraiment voulu, ou tout simplement un silence suspect après le clic. Ce sentiment est malheureusement bien connu : vous venez peut-être de mordre à l’hameçon d’une attaque de phishing.
La bonne nouvelle ? Avoir cliqué sur un lien de phishing n’est pas forcément une catastrophe — à condition d’agir vite et dans le bon ordre. Ce guide vous explique, étape par étape, ce qu’il faut faire dans les premières minutes, les premières heures, et les jours qui suivent.
Comprendre ce qui vient de se passer
Le phishing (ou hameçonnage) est une technique d’arnaque informatique qui consiste à usurper l’identité d’un expéditeur de confiance — une banque, un opérateur téléphonique, un fournisseur, Microsoft, un collègue — pour vous pousser à divulguer des informations sensibles ou à installer un logiciel malveillant.
Lorsqu’un utilisateur clique sur un lien de phishing, plusieurs scénarios sont possibles :
- La page affichée tente de collecter vos identifiants (faux portail de connexion)
- Un fichier malveillant est téléchargé automatiquement ou avec votre accord
- Un script s’exécute en arrière-plan pour exploiter une faille de votre navigateur
- Vous êtes redirigé vers une page inoffensive — mais le simple clic a pu déclencher un traceur ou un pixel espion
La dangerosité réelle dépend de ce que vous avez fait après le clic : avez-vous saisi des informations ?
Téléchargé un fichier ?
Autorisé une application ?
Chaque réponse change le niveau d’urgence.
Les premières minutes : coupez et isolez
Dès que vous réalisez que quelque chose ne va pas, votre premier réflexe doit être de stopper toute communication entre la machine potentiellement compromise et le reste de votre environnement.
Déconnectez immédiatement l’appareil du réseau. Si vous êtes en Wi-Fi, désactivez le Wi-Fi. Si vous êtes en filaire, débranchez le câble Ethernet. Cette action simple empêche un éventuel logiciel malveillant de communiquer avec un serveur distant, d’exfiltrer des données ou de se propager sur d’autres machines du réseau de votre entreprise.
Ne redémarrez pas le poste. C’est contre-intuitif, mais un redémarrage peut effacer des traces utiles à l’analyse, voire activer certains ransomwares configurés pour chiffrer les données au démarrage.
Ne cliquez sur rien d’autre sur la page suspecte, ne fermez pas brutalement les fenêtres, et surtout ne saisissez aucune information — même si la page vous y invite avec un message d’urgence.
Évaluer ce que vous avez fait (ou pas)
Avant d’aller plus loin, prenez trente secondes pour vous poser honnêtement ces questions :
- Avez-vous saisi un identifiant et/ou un mot de passe sur la page vers laquelle vous avez été redirigé ?
- Avez-vous téléchargé un fichier ou autorisé l’installation d’un programme ?
- Avez-vous renseigné des informations bancaires ou personnelles ?
- Avez-vous cliqué sur « Autoriser » dans une fenêtre de votre navigateur ou de votre système d’exploitation ?
Selon vos réponses, les mesures à prendre varient en intensité. Un simple clic sans action complémentaire est souvent peu dangereux sur un poste à jour. En revanche, la saisie d’un mot de passe ou l’installation d’un programme malveillant impose une réponse beaucoup plus rigoureuse.
Changer les mots de passe concernés — et les autres
Si vous avez saisi un identifiant ou un mot de passe sur la page frauduleuse, changez ce mot de passe immédiatement — mais depuis un autre appareil, non compromis. Connectez-vous à votre service légitime (messagerie, espace client, intranet…) depuis votre smartphone ou un autre poste, et modifiez le mot de passe.
Profitez-en pour appliquer deux règles fondamentales :
- N’utilisez jamais deux fois le même mot de passe. Si le mot de passe que vous venez de divulguer est également utilisé sur d’autres services, changez-les tous sans attendre.
- Activez la double authentification (MFA) sur tous les comptes qui le permettent. Même si un attaquant dispose de votre mot de passe, il ne pourra pas accéder à votre compte sans le second facteur.
C’est aussi le bon moment pour adopter un gestionnaire de mots de passe professionnel si ce n’est pas encore le cas dans votre organisation.
Signaler l’incident en interne
Dans un contexte professionnel, vous n’êtes pas seul face à cet incident. Il est impératif de prévenir votre responsable ou votre prestataire informatique dans les plus brefs délais — même si vous avez un doute, même si vous pensez que « ça ne va pas aller plus loin ».
Pourquoi ? Parce qu’une attaque de phishing ciblée peut avoir touché plusieurs collaborateurs en même temps. L’e-mail frauduleux que vous avez reçu a peut-être aussi atterri dans la boîte de dix autres personnes dans votre entreprise. Une alerte rapide permet :
- D’informer les autres collaborateurs avant qu’ils ne cliquent à leur tour
- De bloquer l’expéditeur malveillant au niveau du filtre de messagerie
- De lancer une analyse forensique du poste concerné
- De conserver les preuves nécessaires à un éventuel dépôt de plainte
Si votre entreprise dispose d’un Plan de Réponse aux Incidents (PRI) ou d’un prestataire de cybersécurité, c’est le moment de l’activer. Si vous êtes dans les Hauts-de-France et que vous ne savez pas vers qui vous tourner, notre équipe est disponible via notre page assistance informatique et contact.
Analyser le poste compromis
Une fois l’alerte donnée, une analyse du poste s’impose. Elle peut être réalisée par votre service informatique interne ou par votre prestataire.
Les étapes typiques d’une analyse post-phishing incluent :
- Un scan antivirus et anti-malware complet avec une solution à jour
- La vérification des processus en cours d’exécution et des connexions réseau actives au moment de l’incident
- L’examen des fichiers récemment téléchargés ou modifiés
- La vérification des extensions de navigateur installées récemment
- L’analyse des journaux système pour identifier toute activité anormale
Si un logiciel malveillant est détecté, la machine doit être mise en quarantaine et traitée avant tout retour sur le réseau de l’entreprise. Dans certains cas, une réinstallation complète du système peut être nécessaire.
Vérifier les accès et les autorisations accordées
Certains e-mails de phishing ne cherchent pas à voler un mot de passe directement : ils vous poussent à autoriser une application tierce à accéder à votre compte Microsoft 365, Google Workspace ou autre service cloud. Ce type d’attaque, appelé OAuth phishing ou consent phishing, peut passer inaperçu car il ne nécessite pas la saisie d’un mot de passe.
Si vous pensez avoir accordé ce type d’autorisation, vérifiez immédiatement les applications tierces connectées à vos comptes et révoquez celles que vous ne reconnaissez pas. Cette vérification peut se faire depuis les paramètres de sécurité de votre compte Microsoft ou Google.
Déclarer l’incident aux autorités compétentes
En France, plusieurs voies officielles permettent de signaler un phishing :
- Cybermalveillance.gouv.fr : la plateforme nationale d’assistance aux victimes de cyberattaques. Elle propose également un outil de diagnostic en ligne pour les entreprises et les particuliers.
- Signal Spam (signal-spam.fr) : permet de signaler les e-mails frauduleux directement depuis votre messagerie.
- Le dépôt de plainte auprès de la police ou de la gendarmerie : recommandé si des données sensibles ont été compromises, si une fraude financière a eu lieu, ou si l’attaque semble ciblée.
Si votre entreprise traite des données personnelles (clients, collaborateurs, partenaires), le RGPD vous impose de notifier la CNIL dans un délai de 72 heures si la violation de données est avérée.
Tirer les enseignements pour mieux se protéger
Un incident de phishing est toujours une opportunité de renforcer les pratiques de votre organisation. Les attaques par hameçonnage sont en constante évolution : les e-mails sont de mieux en mieux rédigés, les expéditeurs de plus en plus crédibles, et les techniques de social engineering de plus en plus sophistiquées.
Plusieurs mesures complémentaires méritent d’être mises en place si ce n’est pas déjà le cas :
- La sensibilisation régulière des collaborateurs : un utilisateur formé est la première ligne de défense. Des simulations de phishing permettent d’entraîner les équipes dans des conditions réelles, sans risque.
- Le filtrage avancé de la messagerie : une solution de protection de la messagerie professionnelle bloque une grande partie des tentatives avant même qu’elles n’atteignent la boîte de réception.
- La gestion des droits d’accès (principe du moindre privilège) : si un compte est compromis, des droits limités réduisent mécaniquement l’impact de l’intrusion.
- Les sauvegardes régulières et isolées : en cas d’infection par un ransomware consécutif à un phishing, des sauvegardes saines et isolées permettent de reprendre l’activité sans payer de rançon.
Chez Prégérance, la cybersécurité des entreprises fait partie intégrante de nos missions d’infogérance. Nous accompagnons nos clients dans la mise en place d’une stratégie de protection adaptée à leur taille, leur secteur et leurs contraintes opérationnelles.
Ce qu’il faut retenir
Le phishing est aujourd’hui la première cause de compromission des systèmes d’information en entreprise. Mais un clic malheureux ne conduit pas systématiquement à une catastrophe. Ce qui fait la différence, c’est la rapidité de réaction et la qualité de la réponse dans les minutes et les heures qui suivent.
Isoler la machine, changer les mots de passe concernés, alerter votre prestataire, analyser le poste, signaler l’incident : ces cinq réflexes, appliqués dans l’ordre, permettent dans la grande majorité des cas de contenir l’impact d’une attaque par hameçonnage avant qu’elle ne se transforme en incident majeur.
Et si vous souhaitez qu’un expert évalue la robustesse de votre environnement face à ce type de menace, notre équipe est à votre disposition.