TL;DR les 5 réflexes à faire dans les 5 minutes
- Déconnectez le poste d'internet (câble débranché ou Wi-Fi coupé) pour stopper toute activité en cours.
- Notez ce que vous avez fait : URL du lien, expéditeur, heure, ce que vous avez tapé ou téléchargé. Ces 5 lignes valent de l'or pour la suite.
- Changez votre mot de passe depuis un autre appareil sain (téléphone, tablette, autre PC), pas depuis le poste suspect.
- Activez la MFA partout où elle ne l'est pas encore (Microsoft 365, Google, Apple, banque, réseaux sociaux).
- Prévenez votre IT ou un pro dans l'entreprise. Plus vite ils savent, plus vite ils peuvent fermer les portes.
Pas de panique. La plupart des phishing modernes nécessitent que vous fassiez quelque chose après le clic (entrer un mot de passe, accepter un MFA, exécuter un fichier). Si vous avez juste cliqué et refermé l'onglet, le risque est généralement limité, mais on vérifie quand même.
1. Comprendre ce qui a pu se passer
Avant de paniquer, on cadre la situation. Un "clic sur un lien suspect" couvre en réalité plusieurs scénarios très différents, avec des niveaux de gravité très différents.
Vous avez juste cliqué sur le lien
Vous avez ouvert la page, vu un site louche, et fermé l'onglet. Risque faible dans 90 % des cas. Les navigateurs modernes (Chrome, Edge, Firefox, Safari) bloquent l'exécution automatique de code. Le risque résiduel : tracking, fingerprinting de votre navigateur, parfois exploit de faille zero-day non patchée. Action utile : on continue par sécurité, mais sans stresser.
Vous avez entré votre mot de passe sur la page
Risque élevé. Vos identifiants sont entre les mains des attaquants. Ils vont essayer de se connecter à votre boîte mail, votre Microsoft 365, votre banque, vos réseaux sociaux. Sur un compte pro, c'est souvent la première étape d'un BEC (Business Email Compromise) qui peut coûter cher à l'entreprise.
Vous avez validé un MFA / une notification d'authentification
Risque critique. L'attaquant a probablement déjà accès au compte. Les techniques de MFA fatigue / MFA bombing (l'attaquant tente de se connecter en boucle jusqu'à ce que la victime valide) sont devenues extrêmement courantes en 2025-2026. Action immédiate : révoquer toutes les sessions actives sur le compte.
Vous avez téléchargé ou ouvert une pièce jointe
Risque élevé à critique selon le type. Macro Office, exécutable, archive ZIP, fichier ISO/IMG, raccourci LNK : tous peuvent embarquer un malware. Si vous l'avez juste téléchargé sans ouvrir, le risque est faible. Si vous l'avez ouvert ou exécuté, considérez le poste comme potentiellement compromis.
2. Déconnecter, sans tout casser
L'objectif : stopper toute communication entre le poste et l'extérieur, sans pour autant éteindre brutalement la machine (un arrêt propre préserve les traces utiles à un éventuel forensic).
- Débrancher le câble réseau (Ethernet) si le poste est filaire.
- Couper le Wi-Fi : icône en bas à droite (Windows) ou en haut à droite (macOS), désactiver la connexion.
- Couper le Bluetooth pour éviter toute communication avec un appareil proche.
- Laisser le poste allumé : ne pas éteindre, ne pas redémarrer. Les processus en cours sont des preuves précieuses pour l'analyse.
- Si vous êtes en télétravail ou en déplacement, débranchez aussi tous les périphériques USB inconnus.

3. Changer vos mots de passe, depuis un autre appareil
Règle d'or : ne jamais changer un mot de passe depuis un poste potentiellement compromis. L'attaquant pourrait être en train d'enregistrer vos frappes. Utilisez votre smartphone, une tablette, ou un autre ordinateur sain.
Par ordre de priorité, changez :
- Le mot de passe que vous avez tapé sur le faux site (s'il y a eu saisie).
- Votre boîte mail principale (pro et perso). Si elle est compromise, tous vos autres comptes sont à portée via les "mot de passe oublié".
- Microsoft 365 / Google Workspace : changez le mot de passe ET déconnectez toutes les sessions actives (option "se déconnecter partout" dans la sécurité du compte).
- Vos comptes critiques : banque, plateforme de paiement, cloud (Dropbox, OneDrive, Drive), gestionnaire de mots de passe.
- Vos réseaux sociaux : LinkedIn, Facebook, Instagram, X, souvent utilisés pour cibler vos proches dans un deuxième temps.
Si vous utilisez le même mot de passe partout : tous ces comptes sont à risque. Profitez-en pour mettre en place un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) et générez un mot de passe différent par compte.
4. Activer ou vérifier la MFA partout
La MFA (authentification à plusieurs facteurs) est ce qui transforme un mot de passe volé en non-événement. Si elle est active, l'attaquant a beau avoir vos identifiants, il lui manque le code de validation pour entrer.
À activer en priorité, dans cet ordre :
- Compte Microsoft 365 ou Google professionnel.
- Compte mail personnel principal.
- Comptes bancaires et paiement.
- Gestionnaire de mots de passe.
- Réseaux sociaux.
Pour la méthode MFA : évitez le SMS, vulnérable au SIM swapping. Privilégiez une application d'authentification (Microsoft Authenticator, Google Authenticator, Authy) ou encore mieux pour les comptes critiques, une clé physique FIDO2 (Yubikey, Google Titan, ~50 €).

5. Vérifier ce qui s'est passé sur vos comptes
Pendant que vous changez les mots de passe, profitez-en pour faire l'inventaire des dégâts.
Sur Microsoft 365
Connectez-vous à account.microsoft.com/account/Account ou portal.office.com et regardez :
- L'activité de connexion récente : pays, IP, appareils. Tout ce qui n'est pas vous est suspect.
- Les règles de transfert automatique d'emails : un attaquant en crée souvent une pour rediriger vos messages vers son adresse.
- Les délégations d'accès à la boîte ou au calendrier.
- Les applications tierces autorisées sur le compte.
- Le dossier "Éléments envoyés" : a-t-on envoyé des messages en votre nom ?
Sur Gmail / Google Workspace
Connectez-vous à myaccount.google.com/security et vérifiez la section "Vos appareils" et "Activité de sécurité récente". Pareil pour les règles de filtre dans Gmail.
6. Prévenir les bonnes personnes
Si vous êtes en entreprise
Contactez immédiatement votre IT ou votre RSSI. Ne surtout pas minimiser ou retarder par crainte d'avoir l'air bête. Les équipes IT préfèrent à 1000 % une alerte rapide à un signalement post-mortem. Communiquez :
- L'expéditeur du mail (adresse complète).
- L'URL du lien que vous avez cliqué (copiez-la sans la rouvrir, ou faites une capture d'écran).
- L'heure exacte du clic.
- Ce que vous avez fait après (saisie, téléchargement, validation MFA).
- Si vous êtes en télétravail ou au bureau, sur quel appareil.
Si vous êtes particulier
Signalez le mail à signal-spam.fr et l'URL frauduleuse à phishing-initiative.fr (qui la fera blacklister par les navigateurs). En cas de fraude bancaire avérée, contactez votre banque dans la journée et déposez plainte.
7. Cas particulier : la pièce jointe ouverte
Si vous avez exécuté une pièce jointe (macro Office, .exe, .lnk, .iso, script), considérez le poste comme potentiellement compromis. Action :
- Garder le poste isolé (étapes précédentes).
- Ne pas l'utiliser pour quoi que ce soit de sensible.
- Faire intervenir un professionnel pour analyser : un scan antivirus standard ne suffit pas, beaucoup de malwares modernes contournent les antivirus grand public.
- Dans un contexte pro, la décision la plus simple est souvent de réinstaller le poste à neuf après extraction des données utiles, c'est plus rapide et plus sûr qu'un nettoyage incertain.

8. Surveiller les 48 prochaines heures
Les attaquants ne se manifestent pas toujours immédiatement. Ils peuvent attendre quelques heures à plusieurs jours avant d'exploiter les accès. À surveiller :
- Des emails inhabituels envoyés depuis votre boîte.
- Des alertes de connexion depuis des pays inhabituels.
- Des virements ou paiements que vous n'avez pas autorisés.
- Des messages reçus par vos proches ou collègues vous demandant de l'argent ou des informations sensibles "de votre part".
- Des publications ou messages privés sur vos réseaux sociaux que vous n'avez pas faits.
9. Tirer les leçons (sans culpabiliser)
Vous n'êtes pas le seul. Selon les rapports ANSSI 2024 et ENISA Threat Landscape 2024, le phishing reste la première cause d'intrusion en entreprise, devant les failles techniques. Les emails de phishing modernes, souvent rédigés par IA générative, sont pratiquement indétectables par un œil non entraîné.
Pour réduire le risque à l'avenir :
- Activez la MFA partout.
- Utilisez un gestionnaire de mots de passe (il ne remplit automatiquement que sur les vrais sites).
- Apprenez à inspecter une URL : domaine principal, sous-domaines, fautes d'orthographe subtiles (microsoft.com vs micros0ft.com).
- Méfiez-vous des emails qui créent un sentiment d'urgence ("votre compte va être bloqué", "virement à valider avant 17h").
- En entreprise, demandez une formation phishing annuelle pour les équipes c'est l'investissement cyber au meilleur ROI.
10. Vous dirigez une PME ? Quelques actions structurelles
Un clic isolé qui se passe bien aujourd'hui ne dit rien du risque demain. À mettre en place :
- Politique MFA obligatoire sur tous les comptes professionnels.
- Filtres anti-phishing sur la messagerie (Microsoft Defender for Office 365, Google Workspace équivalent, ou solutions tierces).
- Sensibilisation régulière des équipes avec des simulations de phishing.
- Procédure claire "j'ai cliqué" connue de tous, sans crainte d'être sanctionné.
- Sauvegardes régulières, testées, déconnectées du réseau principal.
Si vous êtes dans le 06 ou le 83 et que vous voulez auditer votre exposition au phishing, on propose un audit gratuit de 30 minutes pour cadrer ce qui mérite d'être fait en priorité.
Intervention rapide M365 ou Google Workspace : reset mots de passe, révocation sessions, audit règles de transfert, recherche de persistance. À partir de 800 € HT.