On peut imaginer le phishing comme un pickpocket numérique qui ne se contente pas de passer la main discrètement dans ta veste, mais use de pièges psychologiques pour te persuader de lui donner de ton plein gré ton portefeuille en main propre. Certaines campagnes de phishing recourent même à l’envoi direct de logiciels malveillants (ou malwares), généralement via des pièces jointes frauduleuses ou des liens malveillants qui installent des programmes de manière inaperçue en arrière-plan.
Le phishing, ou hameçonnage, est une attaque au moyen d’appâts numériques. Les pirates envoient des e-mails au nom d’organismes de confiance: entreprises, banques ou fournisseurs de logiciels. Leur objectif est de t’attirer sur un site Web frauduleux pour y récupérer tes données sensibles.
Comment reconnaître un e-mail de phishing?
Les principaux signes distinctifs d’un e-mail de phishing: sentiment d’urgence, menaces de verrouillage de compte, fautes d’orthographe, identité falsifiée et liens suspects ou pièces jointes non sollicitées. L’objectif premier est de t’attirer sur de faux sites Web afin de subtiliser tes mots de passe, identifiants de connexion ou données sensibles de carte de crédit.
Les criminels modernes utilisent actuellement l’intelligence artificielle pour leurs attaques. Les messages sont traduits sans erreur et sonnent souvent étonnamment personnels. C’est ce qui les rend d’autant plus dangereux dans un quotidien effréné.
Cas pratique: dans le quotidien d’une PME, un clic de trop est vite arrivé
On l’a tous déjà vécu: vendredi après-midi. Le téléphone sonne. Il reste quelques tâches à finir avant le week-end. C’est précisément le moment que choisissent les cybercriminels pour sévir. Étudions de plus près un scénario typique:
Dans la menuiserie fictive Dupont SàRL, Sarah, la comptable, reçoit un e-mail. L’expéditeur semble être son chef, Thomas Dupont. Il écrit: «Salut Sarah, je suis bloqué à un rendez-vous client très important. Notre livraison de bois urgente est coincée à la douane. Si on ne paie pas les 1’250 francs de frais dans les 30 minutes par carte de crédit via ce lien, le chantier s’interrompra lundi. Merci de régulariser au plus vite!»
Sarah sait à quel point le projet est important. Le chef met la pression, l’e-mail semble tout à fait normal, même la signature est correcte. Pour se débarrasser au plus vite du problème, elle clique sur le lien, arrive sur une page de paiement et saisit les données de l’entreprise.
Ce qu’elle n’a pas remarqué dans la précipitation: l’expéditeur de l’e-mail n’était pas [email protected], mais [email protected]. Une différence subtile qui peut coûter cher à la PME suisse. Sarah est victime d’une «arnaque au président».
Signes caractéristiques des e-mails d’hameçonnage
À bexio, nous sommes bien placés pour parler de ce risque: en mai 2026, des inconnus ont envoyé à notre clientèle des e-mails frauduleux pour l’attirer vers des pages d’identification falsifiées mais extrêmement bien imitées. Leur objectif? Manipuler de manière inaperçue les IBAN sur les brouillons de factures.
Les pirates combinent souvent plusieurs tactiques psychologiques. Voici les signaux classiques qui devraient te mettre la puce à l’oreille:
Émotions et panique: les criminels veulent gagner ta confiance en faisant appel à tes émotions. Ils tentent de manière ciblée de te stresser ou de créer la panique – notamment avec des lignes d’objet comme «Dernier avertissement: votre compte sera bloqué dans 24 heures!». Les fraudeurs en appellent sans vergogne à la tendance naturelle à aider ou à la peur.
Usurpation d’identité faisant autorité (arnaque au président): bien souvent, les pirates se font passer pour des cadres supérieurs (par exemple le CEO). Ils tentent de persuader le personnel comptable d’effectuer un paiement en urgence, comme pour Sarah dans notre exemple ci-dessus. Pour ce faire, ils tirent profit du respect du supérieur.
Situation prétendument exceptionnelle: dans leur e-mail, les cybercriminels te leurrent avec un scénario crédible inventé de toutes pièces. Ils te font par exemple croire que tu dois effectuer le paiement immédiat d’une commande qui t’est complètement inconnue. Souvent, ils te promettent en outre que ton paiement va permettre une livraison particulièrement importante. Comme la curiosité est humaine et naturelle, les fraudeurs usent beaucoup de ce levier.
Pression pour la divulgation des données: l’e-mail installe un sentiment d’urgence et t’incite à divulguer des données sensibles. Les entreprises ou banques suisses sérieuses n’exigeront jamais de toi que tu saisisses un mot de passe ou des données de carte de crédit via un lien direct.
Autres caractéristiques des e-mails d’hameçonnage
À y regarder de plus près, tu peux détecter de nombreuses attaques par les incohérences suivantes:
- Usurpation de l’identité de l’expéditeur et «spoofing» des noms de domaine: le nom affiché dans la boîte de réception semble tout à fait légitime (par exemple «équipe d’assistance»). Mais si tu passes la souris sur le nom (sans cliquer!), tu vois tout à coup une adresse e-mail complètement inconnue. Les escrocs maîtrisent de mieux en mieux le français et falsifient les adresses Web (domaines) pour se faire passer pour une source légitime. Imagine le spoofing de domaine comme quelqu’un qui porte un faux badge d’entreprise sans autorisation. Parmi les principales variantes, on compte:
l’échange de caractères (typosquattage): par exemple «p0st.ch» au lieu de l’adresse correcte «post.ch» (remplacement de la lettre «o» par le chiffre «0»).
les illusions visuelles (homoglyphes): par exemple «raiffęisen.ch» au lieu de l’adresse correcte «raiffeisen.ch» (la lettre «e» porte une sorte de cédille, l’ogonek, qui passe inaperçue à première vue).
les mauvaises extensions de pays: par exemple«ncsc-admin.net» au lieu de l’adresse correcte «admin.ch».
En-têtes trompeurs: les escrocs copient souvent des logos d’entreprise bluffants. Ils emploient soit une formule de politesse très impersonnelle (comme «Madame, Monsieur»), soit s’adressent à toi de manière extrêmement personnalisée, car ils te pistent sur Internet (LinkedIn, TikTok ou Instagram). Dans tous les cas, ne te précipite pas et garde la tête froide.
Pièces jointes dangereuses: tu reçois un document non sollicité alors que tu n’attends aucune facture? Efface-le immédiatement. Les pièces jointes avec les extensions .zip, .pdf ou .exe installent souvent des virus permettant aux cybercriminels d’accéder à tes systèmes informatiques. Autres types de fichiers potentiellement dangereux:
.doc, .docx, .docm, .xls, .xlsx, .xlsm, .ppt, .pptx, .pptm, .rar, .7z, .msi, .bat, .cmd, .scr, .js, .vbs et .ps1.
Les cybercriminels utilisent également d’autres moyens d’accéder à tes données sensibles:
Vishing («voice» et «phishing»): tu es oralement invité, généralement par téléphone, à agir. Les pirates se font notamment passer pour des employés de banque et prétextent un problème avec un paiement. Ils peuvent aussi te demander de te connecter à l’e-banking. Interromps immédiatement ce type d’appels.
Smishing («SMS» et «phishing»): tu reçois des SMS convaincants qui t’invitent à cliquer sur un lien et à communiquer des informations personnelles aux escrocs. Ne clique jamais sur de tels liens et ignore toujours ces messages.
Attention, nouvelle attaque: le phishing par code QR («quishing»): tu reçois un e-mail, voire une lettre, avec un code QR renvoyant prétendument à de nouvelles CGV ou à une livraison de colis. En le scannant, tu atterris tout droit sur un site Web frauduleux. Et comme les smartphones réduisent souvent les adresses Web, la fraude est rarement visible sur un petit écran. Notre astuce: ne scanne jamais les codes QR de messages non sollicités. Ni Twint ni Tutti ne proposent une fonction «Recevoir de l’argent» – en tant que vendeur, tu n’as donc jamais à photographier un code QR.
Info ou intox? La vérité sur le phishing
Le phishing étant désormais une réalité du quotidien, de nombreuses demi-vérités circulent dans l’économie suisse. On fait le point sur les mythes pour t’éviter un faux sentiment de sécurité au bureau.
Idée reçue | Fait | Explication |
«J’utilise un appareil Apple (Mac/iPhone), je suis donc à l’abri de tout phishing.» | ❌ Faux. Le phishing cible d’abord les personnes, pas la technologie. | Si tu cliques sur un lien et saisis de ton plein gré ton mot de passe sur un site Web frauduleux d’apparence légitime, même le meilleur système d’exploitation du monde ne pourra pas t’aider. L’erreur se produit devant l’écran, par l’utilisateur. |
«Je reconnais tout de suite un e-mail de phishing à son orthographe déplorable.» | ❌ Faux. C’est de l’histoire ancienne. | Aujourd’hui, les cybercriminels utilisent des outils de traduction par IA très puissants. Les e-mails sont grammaticalement corrects et sont même rédigés de manière très ciblée, dans un français parfait et authentique. |
«J’ai un antivirus très cher qui bloque automatiquement tous ces e-mails.» | ❌ Faux. Un antivirus protège des logiciels malveillants connus, pas des pièges psychologiques. | Les escrocs enregistrent chaque jour des milliers de nouvelles pages Web inoffensives qui ne sont pas tout de suite détectées comme des menaces par les filtres de sécurité. |
«Je suis un petit artisan, bien trop insignifiant pour les pirates.» | ❌ Faux. Les PME sont la première cible. | Les criminels ratissent large. Ils utilisent l’intelligence artificielle pour multiplier les attaques et les rendent de plus en plus sophistiquées. Les petites entreprises réalisent énormément de paiements. Si elles se retrouvent dans le viseur des cybercriminels, ce n’est pas en raison d’un manque de budget, mais bien parce qu’elles sous-estiment les risques. Reste conscient de ta responsabilité et sois proactif: répartis les domaines de compétence, demande conseil à des spécialistes pour ton hygiène informatique de base et, en cas de crise, souscris à une cyberassurance qui couvre les pertes de rendement. |
Comment se protéger contre les e-mails de phishing?
Pour les PME suisses, la meilleure défense est une saine combinaison de protection technologique et de vigilance des employés. Prends les mesures suivantes sans faute:
Mets en place l’authentification à deux facteurs (2FA): ton meilleur verrou numérique. C’est un peu comme une double-clé pour ta maison: même si les pirates obtiennent ton mot de passe, ils échouent à cause du deuxième code de sécurité qui n’est envoyé que sur ton natel. En raison du risque croissant, nous avons décidé, à bexio, de faire de la 2FA une norme. Dans l’idéal, utilise pour le deuxième facteur une application d’authentification plutôt qu’un code par SMS.
Ne clique sur aucun lien: ouvre les portails importants, comme ta banque en ligne ou ton compte bexio, directement via les favoris de ton navigateur ou depuis la page officielle du prestataire (jamais à partir d’une publicité). En cas de doute, saisis l’adresse manuellement. En outre, ne clique jamais trop vite sur un bouton qui pourrait contenir un lien caché. Passe plutôt la souris sur le lien sans cliquer: tu verras apparaître en bas à gauche de ton navigateur l’adresse réelle.
Implique toute ton équipe: aborde le thème de la sécurité informatique au bureau. Fixe des règles claires, comme la double vérification en comptabilité. Sensibilise tes employés au moins une fois par an à l’utilisation sécurisée des services numériques. Idéalement, complète par des formations en ligne et de fausses attaques de phishing afin d’exercer ton équipe à détecter les fraudes.
Je me suis fait avoir: que faire?
En cas de stress, un clic non réfléchi arrive même aux meilleurs – en particulier en cas de multitâche et de surinformation. Si le cadenas de sécurité est absent de la ligne d’adresse de ton navigateur ou que l’adresse indique des inversions étranges de lettres, tu as probablement atterri sur un site frauduleux.
Si tu as déjà saisi des données ou ouvert une pièce jointe, pas de panique. Selon le code suisse des obligations (Art. 44 CO), tu peux être tenu responsable de négligence grave dans les transactions – il est donc crucial de réagir vite. Suis immédiatement ces étapes:
Garde ton calme et débranche: coupe tout de suite le Wifi ou retire le câble réseau afin d’empêcher un logiciel malveillant (malware) de s’exécuter en arrière-plan sur les autres ordinateurs du réseau informatique de ton entreprise.
Ne te flagelle pas et demande de l’aide sans tarder: les cybercriminels travaillent actuellement de manière très professionnelle. Même des experts informatiques se font piéger. Signale immédiatement l’incident à ton prestataire informatique puis à ta cyberassurance. Le prestataire informatique est le pompier qui administre les premiers secours pour réduire au maximum l’étendue des dégâts. La cyberassurance devra ensuite être immédiatement informée afin de te soutenir de manière ciblée grâce à son réseau de partenaires.
Modifie tes mots de passe depuis un appareil sécurisé: change tout de suite tes données de connexion. Attention: fais-le depuis un autre appareil, sécurisé, par exemple ton smartphone sur le réseau mobile, au cas où ton ordinateur serait déjà infecté.
Alerte les organismes financiers: tu as saisi des données de carte de crédit, des IBAN ou des codes PIN? Contacte immédiatement la hotline de ta banque ou de ton fournisseur de carte de crédit pour bloquer les comptes concernés. Les établissements comme UBS ou PostFinance proposent un service à la clientèle 24h/24, 7j/7.
Dépose plainte auprès de la police suisse: en cas de dommage financier avéré, l’Office fédéral de la cybersécurité (OFCS) recommande de porter plainte au plus vite. Le portail officiel Suisse ePolice te permet de rechercher le poste de police le plus proche, voire de déposer plainte en ligne contre des cyberattaques, selon le canton de résidence.
Vérifie la protection des données (LPD): l’attaque a-t-elle entraîné une fuite de données? Selon la Loi fédérale sur la protection des données (LPD), tu dois immédiatement vérifier s’il est nécessaire de signaler l’incident au Préposé fédéral à la protection des données et à la transparence (PFPDT). Ta cyberassurance peut t’aider à faire le signalement et peut en prendre en charge les frais.
Signaler des e-mails d’hameçonnage en Suisse
Ne te contente pas d’effacer les e-mails frauduleux dans ton coin. Parles-en pour contribuer à protéger tout l’écosystème des PME suisses de dommages financiers.
Signale toute tentative de phishing à l’Office fédéral de la cybersécurité (OFCS). Le plus simple est de transférer l’e-mail frauduleux (idéalement en tant que fichier .eml en pièce jointe, afin de conserver tous les en-têtes) directement à [email protected]. L’Office compile les signalements, publie des avertissements nationaux et s’assure que les sites Web frauduleux sont supprimés de la toile au plus vite. C’est seulement à ce moment-là que tu devrais supprimer l’e-mail. Clique ici pour savoir comment créer un fichier EML.
Il est par ailleurs utile de marquer l’e-mail comme spam dans ta boîte de réception. Ton programme d’e-mails apprend ainsi à repérer et à bloquer les expéditeurs similaires.
FAQ: questions fréquentes sur l’hameçonnage
Comment savoir si un lien est sécurisé?
Passe le curseur de la souris sur le lien sans cliquer dessus. Tu verras en bas à gauche de ton navigateur l’adresse Web réelle. Si celle-ci ne correspond pas exactement au site Web officiel de ton fournisseur, la prudence est de mise: regarde à deux fois et, en cas de doute, contacte le fournisseur directement – idéalement par un autre canal de communication.
Est-ce qu’un Mac ou un iPhone protègent du hameçonnage?
Non. Le phishing ne s’attaque pas à la technologie, mais berne les utilisateurs en leur faisant miroiter des choses fausses. Les utilisateurs d’appareils Apple peuvent eux aussi se faire piéger et se retrouver à saisir de leur plein gré leurs mots de passe sur un site Web frauduleux très bien imité.
Qu’est-ce que le spear phishing?
Si le phishing traditionnel fonctionne comme un grand filet de pêche, le spear phishing est une attaque ciblée par harponnage. Les criminels ciblent une personne en particulier dans ta PME (par exemple la comptable) et utilisent des informations préalablement rassemblées (notamment via les réseaux sociaux ou le registre du commerce) afin d’envoyer un e-mail personnalisé très crédible.
Qu’est-ce que l’arnaque au président?
Les escrocs se font passer pour le CEO (ou un autre cadre extrêmement haut placé) de l’entreprise. Leur objectif est de persuader les employés de leur fournir en urgence de l’argent ou des informations confidentielles. En conséquence, applique toujours une double vérification, en particulier pour les grosses transactions. En cas de doute, fais confirmer les versements par un autre canal de communication (idéalement par téléphone).
Pour repérer immédiatement le phishing dans le stress du quotidien professionnel, la police suisse et les experts en prévention misent sur un moyen mnémotechnique simple. Mémorise simplement le prénom LINDA :
L = Liens et pièces jointes (méfie-toi) : Ne clique jamais aveuglément sur des boutons et n'ouvre aucun document inattendu. Fais toujours le test du survol avec ta souris avant.
I = Informations (vérifie le contenu) : L'e-mail te demande soudainement des mots de passe, des identifiants ou des données de carte de crédit? Les fournisseurs sérieux ne le demandent jamais directement via un lien.
N = Neutralité de la salutation (sois sceptique) : Le message commence-t-il de manière impersonnelle par «Chère cliente / Cher client» ou «Bonjour»? C'est un signal d'alarme immédiat.
D = Délais urgents (remets en question) : Le message te met-il artificiellement sous pression, t'impose-t-il une limite de temps ou te menace-t-il de bloquer ton compte? Ne te laisse jamais stresser.
A = Adresse de l'expéditeur (authentifie) : L'expéditeur est-il vraiment légitime? Clique sur le nom affiché et vérifie toujours l'adresse e-mail réelle qui se cache derrière.
Protège ta PME des cyberattaques
Nos directives téléchargeables gratuitement t’offrent des conseils et astuces pour protéger ta PME des risques numériques. Tu apprendras aussi comment bexio traite les données clients sensibles.
Les cybercriminels usurpent souvent des noms de marques reconnus pour accéder à tes données. Tu connais la chanson: un e-mail demande une vérification urgente de ton compte, et tu te demandes avec inquiétude si ton accès à l’entreprise est compromis. Un clic non réfléchi peut avoir des conséquences administratives d’envergure.
Simplifie-toi la vie. Chez bexio, la sécurité de nos logiciels est notre priorité absolue. C’est pourquoi nous t’informons en toute transparence de modes opératoires actuels. Voici les clés de la sécurité:
L’adresse authentique de l’expéditeur: un véritable e-mail du système ou une facture de bexio proviennent toujours d’une adresse se terminant par @bexio.com (par exemple, [email protected]).
Vérification des liens: si tu passes le curseur sur un bouton dans un e-mail de bexio, l’adresse URL doit toujours finir par .bexio.com (par exemple idp.bexio.com).
La sécurité avant tout: en tant que filiale de la Mobilière, nous ne prenons pas la sécurité des données à la légère. C’est pourquoi l’authentification à deux facteurs (de préférence via une application d’authentification) est désormais la norme pour nos clients.
Tu doutes toujours de la légitimité d’un message de bexio? Ne clique sur aucun lien. Connecte-toi à ton compte bexio via le favori enregistré dans ton navigateur. Tu y verras toutes tes tâches en attente.
Comment te protéger en toutes circonstances: consulte plutôt notre page officielle d’alerte phishing. Nous y répertorions en temps réel tous les e-mails frauduleux portés à notre connaissance et envoyés en notre nom. Garde cette page sous le coude pour travailler l’esprit léger et en toute sécurité.
