Bonnes pratiques
6 minutesHameçonnage : dans vos e-mailsne cliquez pas sur les liens
Le réflexe le plus simple pour éviter l'hameçonnage tient en une phrase : ne cliquez pas sur les liens reçus par e-mail.
Les tentatives d’hameçonnage ne ressemblent plus aux courriels grossiers d’il y a dix ans. Elles reprennent le ton d’un fournisseur, le logo d’une banque, le format d’une facture, parfois même votre nom, votre fonction ou un numéro de dossier réel obtenu lors d’une fuite de données.
Dans ce contexte, vouloir « reconnaître » un message frauduleux à l’œil nu devient un mauvais pari. Il existe un réflexe plus sûr, beaucoup plus simple, et qui suffit à neutraliser la grande majorité des attaques : ne pas cliquer sur les liens reçus par e-mail.
Le principe
Un lien n'est jamais ce qu'il prétend être.
Un e-mail peut afficher un texte de lien parfaitement crédible — « Mon compte », « Suivre ma livraison », « Régler ma facture » — alors que l'adresse réelle pointe vers un site contrôlé par un attaquant. Le nom affiché de l'expéditeur peut lui aussi être falsifié sans difficulté.
Cliquer, même par curiosité, suffit à signaler que la boîte mail est active et lue. Cela peut déclencher d'autres envois, ouvrir une page conçue pour collecter un mot de passe, ou installer un script en arrière-plan.
La bonne question n'est donc pas « ce message a-t-il l'air vrai ? », mais « ai-je besoin du lien fourni pour vérifier ce qu'il annonce ? ». La réponse est presque toujours non.
Le bon réflexe
Vérifier l'information par un autre canal, jamais par le lien.
Étape 1
Ne cliquez pas
Si un e-mail annonce un problème, une facture, un colis, un remboursement ou un message urgent, traitez-le comme une simple notification. Le lien fourni n'a pas besoin d'être ouvert pour vérifier le fond.
Étape 2
Ouvrez le site officiel vous-même
Tapez l'adresse du site dans le navigateur, ou ouvrez l'application correspondante. Connectez-vous comme d'habitude, et regardez si un message, une facture ou une demande figure réellement dans votre compte.
Étape 3
Recoupez avant de répondre
En cas de doute sur un fournisseur, une banque ou une administration, appelez le numéro habituel — celui d'une facture papier ou du site officiel — et non celui indiqué dans l'e-mail.
Pourquoi c'est efficace
Une règle simple supprime l'effet de surprise.
L'hameçonnage repose sur deux ressorts : l'urgence et la confiance. Une facture impayée, un compte « suspendu », un colis bloqué, une mise à jour à valider. Le but est de provoquer un clic avant la réflexion.
Une règle universelle — ne jamais cliquer sur les liens des e-mails — supprime ce déclencheur. Elle ne demande plus de juger chaque message au cas par cas, ce qui est précisément l'exercice où un attaquant compétent finit toujours par gagner.
Elle a un autre mérite : elle s'applique aussi bien à un mail très grossier qu'à un message ciblé, rédigé en bon français, avec une signature plausible et un contexte réaliste.
Les pièges fréquents
Ce qui doit déclencher une vigilance immédiate.
Aucun de ces signaux ne prouve à lui seul une fraude. Ensemble, ils justifient toujours une vérification par un autre canal.
Expéditeur
Adresse réelle masquée
Le nom affiché peut être « Service client Postfinance » alors que l'adresse réelle est inconnue. Vérifier l'adresse complète prend deux secondes : un nom officiel ne se cache jamais derrière un domaine étranger ou aléatoire.
Domaine
Lettres remplacées ou ajoutées
Un attaquant utilise volontiers des variations difficiles à voir : « rnicrosoft.com » au lieu de « microsoft.com », « ch-impots.net » au lieu du domaine officiel, ou une lettre grecque qui imite une lettre latine.
Ton
Urgence ou menace
« Votre compte sera bloqué dans 24h », « Dernière relance avant huissier », « Validation requise immédiatement ». L'urgence n'est pas une information : c'est une pression. Elle justifie toujours de vérifier ailleurs, jamais de cliquer plus vite.
Pièce jointe
Document inattendu
Une facture, un bon de commande ou un PDF reçus sans contexte préalable peuvent contenir un lien ou un script. Le document s'ouvre dans un environnement contrôlé seulement si l'on connaît déjà l'expéditeur et la raison.
Demande
Mot de passe ou code de sécurité
Aucune banque, aucune administration, aucun fournisseur sérieux ne demande un mot de passe, un code SMS ou un code d'authentification par e-mail. Cette demande, à elle seule, désigne la fraude.
Contexte
Message qui « tombe bien »
Un faux courriel arrive parfois au moment exact où l'on attend une livraison, un remboursement ou un règlement. Cette coïncidence est précisément ce qui rend l'attaque convaincante. Elle ne dispense pas de vérifier.
En entreprise
Ce qu'un dirigeant peut décider, sans devenir technicien.
L'hameçonnage ne se résout pas uniquement par des outils. Il se traite d'abord par une règle partagée : dans l'entreprise, on ne clique pas sur les liens reçus par e-mail, et on ne reproche jamais à un collaborateur d'avoir préféré vérifier.
Le second levier consiste à rendre le signalement facile. Une adresse interne ou un canal court — « j'ai un doute, je transfère » — vaut mieux qu'une procédure longue que personne n'utilise.
Le troisième levier est technique : filtre antispam à jour, double authentification sur les comptes sensibles, séparation des accès administrateurs et des accès quotidiens. Aucune de ces mesures ne remplace le réflexe humain, mais elles réduisent fortement l'impact d'un clic isolé.
Le point de vue OCEA
Une règle simple, appliquée par tout le monde, protège mieux qu'une consigne sophistiquée.
Les attaques par e-mail évoluent vite. Les outils de filtrage progressent, mais les messages frauduleux aussi : ils sont plus crédibles, mieux écrits, mieux ciblés. Vouloir trier ces messages à l'œil nu devient un exercice perdu d'avance.
Ce qui résiste, c'est le réflexe : ne pas cliquer sur les liens, ouvrir soi-même le site officiel, vérifier dans son compte. Cette habitude tient en une phrase. Elle peut être expliquée à toute une équipe en cinq minutes, et elle suffit à arrêter la majorité des tentatives.
Notre rôle consiste à compléter ce réflexe par les protections techniques qui en réduisent les angles morts, et à organiser un signalement clair lorsque le doute s'installe. La sécurité utile, en PME, est rarement spectaculaire : elle est partagée, comprise, et appliquée sans hésiter.
Prochaine étape
Vos équipes savent-elles reconnaître un e-mail piégé ?
Un premier échange permet d'évaluer les réflexes en place, les protections techniques utiles, et la manière dont un signalement devrait être organisé. Sans engagement.