Email de phishing détecté avec lien suspect
Un clic sur un mauvais lien ne signe pas la fin de la partie, mais les 30 prochaines minutes comptent.

TL;DR les 5 réflexes à faire dans les 5 minutes

À retenir

Pas de panique. La plupart des phishing modernes nécessitent que vous fassiez quelque chose après le clic (entrer un mot de passe, accepter un MFA, exécuter un fichier). Si vous avez juste cliqué et refermé l'onglet, le risque est généralement limité, mais on vérifie quand même.

1. Comprendre ce qui a pu se passer

Avant de paniquer, on cadre la situation. Un "clic sur un lien suspect" couvre en réalité plusieurs scénarios très différents, avec des niveaux de gravité très différents.

Vous avez juste cliqué sur le lien

Vous avez ouvert la page, vu un site louche, et fermé l'onglet. Risque faible dans 90 % des cas. Les navigateurs modernes (Chrome, Edge, Firefox, Safari) bloquent l'exécution automatique de code. Le risque résiduel : tracking, fingerprinting de votre navigateur, parfois exploit de faille zero-day non patchée. Action utile : on continue par sécurité, mais sans stresser.

Vous avez entré votre mot de passe sur la page

Risque élevé. Vos identifiants sont entre les mains des attaquants. Ils vont essayer de se connecter à votre boîte mail, votre Microsoft 365, votre banque, vos réseaux sociaux. Sur un compte pro, c'est souvent la première étape d'un BEC (Business Email Compromise) qui peut coûter cher à l'entreprise.

Vous avez validé un MFA / une notification d'authentification

Risque critique. L'attaquant a probablement déjà accès au compte. Les techniques de MFA fatigue / MFA bombing (l'attaquant tente de se connecter en boucle jusqu'à ce que la victime valide) sont devenues extrêmement courantes en 2025-2026. Action immédiate : révoquer toutes les sessions actives sur le compte.

Vous avez téléchargé ou ouvert une pièce jointe

Risque élevé à critique selon le type. Macro Office, exécutable, archive ZIP, fichier ISO/IMG, raccourci LNK : tous peuvent embarquer un malware. Si vous l'avez juste téléchargé sans ouvrir, le risque est faible. Si vous l'avez ouvert ou exécuté, considérez le poste comme potentiellement compromis.

2. Déconnecter, sans tout casser

L'objectif : stopper toute communication entre le poste et l'extérieur, sans pour autant éteindre brutalement la machine (un arrêt propre préserve les traces utiles à un éventuel forensic).

  1. Débrancher le câble réseau (Ethernet) si le poste est filaire.
  2. Couper le Wi-Fi : icône en bas à droite (Windows) ou en haut à droite (macOS), désactiver la connexion.
  3. Couper le Bluetooth pour éviter toute communication avec un appareil proche.
  4. Laisser le poste allumé : ne pas éteindre, ne pas redémarrer. Les processus en cours sont des preuves précieuses pour l'analyse.
  5. Si vous êtes en télétravail ou en déplacement, débranchez aussi tous les périphériques USB inconnus.
Le poste compromis devient un container : on l'isole sans le casser.
Le poste compromis devient un container : on l'isole sans le casser.

3. Changer vos mots de passe, depuis un autre appareil

Règle d'or : ne jamais changer un mot de passe depuis un poste potentiellement compromis. L'attaquant pourrait être en train d'enregistrer vos frappes. Utilisez votre smartphone, une tablette, ou un autre ordinateur sain.

Par ordre de priorité, changez :

  1. Le mot de passe que vous avez tapé sur le faux site (s'il y a eu saisie).
  2. Votre boîte mail principale (pro et perso). Si elle est compromise, tous vos autres comptes sont à portée via les "mot de passe oublié".
  3. Microsoft 365 / Google Workspace : changez le mot de passe ET déconnectez toutes les sessions actives (option "se déconnecter partout" dans la sécurité du compte).
  4. Vos comptes critiques : banque, plateforme de paiement, cloud (Dropbox, OneDrive, Drive), gestionnaire de mots de passe.
  5. Vos réseaux sociaux : LinkedIn, Facebook, Instagram, X, souvent utilisés pour cibler vos proches dans un deuxième temps.
À retenir

Si vous utilisez le même mot de passe partout : tous ces comptes sont à risque. Profitez-en pour mettre en place un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) et générez un mot de passe différent par compte.

4. Activer ou vérifier la MFA partout

La MFA (authentification à plusieurs facteurs) est ce qui transforme un mot de passe volé en non-événement. Si elle est active, l'attaquant a beau avoir vos identifiants, il lui manque le code de validation pour entrer.

À activer en priorité, dans cet ordre :

Pour la méthode MFA : évitez le SMS, vulnérable au SIM swapping. Privilégiez une application d'authentification (Microsoft Authenticator, Google Authenticator, Authy) ou encore mieux pour les comptes critiques, une clé physique FIDO2 (Yubikey, Google Titan, ~50 €).

Changement de mot de passe + MFA active : le combo qui referme la porte.
Changement de mot de passe + MFA active : le combo qui referme la porte.

5. Vérifier ce qui s'est passé sur vos comptes

Pendant que vous changez les mots de passe, profitez-en pour faire l'inventaire des dégâts.

Sur Microsoft 365

Connectez-vous à account.microsoft.com/account/Account ou portal.office.com et regardez :

Sur Gmail / Google Workspace

Connectez-vous à myaccount.google.com/security et vérifiez la section "Vos appareils" et "Activité de sécurité récente". Pareil pour les règles de filtre dans Gmail.

6. Prévenir les bonnes personnes

Si vous êtes en entreprise

Contactez immédiatement votre IT ou votre RSSI. Ne surtout pas minimiser ou retarder par crainte d'avoir l'air bête. Les équipes IT préfèrent à 1000 % une alerte rapide à un signalement post-mortem. Communiquez :

Si vous êtes particulier

Signalez le mail à signal-spam.fr et l'URL frauduleuse à phishing-initiative.fr (qui la fera blacklister par les navigateurs). En cas de fraude bancaire avérée, contactez votre banque dans la journée et déposez plainte.

7. Cas particulier : la pièce jointe ouverte

Si vous avez exécuté une pièce jointe (macro Office, .exe, .lnk, .iso, script), considérez le poste comme potentiellement compromis. Action :

  1. Garder le poste isolé (étapes précédentes).
  2. Ne pas l'utiliser pour quoi que ce soit de sensible.
  3. Faire intervenir un professionnel pour analyser : un scan antivirus standard ne suffit pas, beaucoup de malwares modernes contournent les antivirus grand public.
  4. Dans un contexte pro, la décision la plus simple est souvent de réinstaller le poste à neuf après extraction des données utiles, c'est plus rapide et plus sûr qu'un nettoyage incertain.
La checklist d'urgence à dérouler dans l'ordre.
La checklist d'urgence à dérouler dans l'ordre.

8. Surveiller les 48 prochaines heures

Les attaquants ne se manifestent pas toujours immédiatement. Ils peuvent attendre quelques heures à plusieurs jours avant d'exploiter les accès. À surveiller :

9. Tirer les leçons (sans culpabiliser)

Vous n'êtes pas le seul. Selon les rapports ANSSI 2024 et ENISA Threat Landscape 2024, le phishing reste la première cause d'intrusion en entreprise, devant les failles techniques. Les emails de phishing modernes, souvent rédigés par IA générative, sont pratiquement indétectables par un œil non entraîné.

Pour réduire le risque à l'avenir :

10. Vous dirigez une PME ? Quelques actions structurelles

Un clic isolé qui se passe bien aujourd'hui ne dit rien du risque demain. À mettre en place :

Si vous êtes dans le 06 ou le 83 et que vous voulez auditer votre exposition au phishing, on propose un audit gratuit de 30 minutes pour cadrer ce qui mérite d'être fait en priorité.

Compte compromis ou suspicion de fuite ? On intervient

Intervention rapide M365 ou Google Workspace : reset mots de passe, révocation sessions, audit règles de transfert, recherche de persistance. À partir de 800 € HT.