Un collaborateur a cliqué sur un lien de phishing ?
Chaque minute compte. Les premières 30 minutes déterminent l'étendue des dégâts. Voici exactement quoi faire, dans quel ordre, sans panique.
NE PAS FAIRE — Erreurs qui aggravent la situation
NE PAS ignorer l'incident
"C'est sûrement rien" est la phrase qui coûte le plus cher. Un seul clic peut ouvrir une backdoor active. Sans action immédiate, l'attaquant a le temps de se propager.
NE PAS continuer à utiliser le poste compromis
Chaque action sur le poste infecté peut aggraver la situation : propagation vers des partages réseau, exfiltration de données additionnelles, chiffrement si c'est un ransomware.
NE PAS saisir de nouveaux mots de passe sur le poste infecté
Un keylogger peut être actif sur la machine. Tout mot de passe saisi depuis ce poste est potentiellement compromis en temps réel par l'attaquant.
NE PAS attendre que "ça se règle tout seul"
Les attaquants exploitent chaque heure d'inaction. Après 24h sans intervention, une compromission partielle devient souvent une compromission totale de l'infrastructure.
Checklist d'urgence — Les 30 premières minutes
Déconnecter le poste du réseau immédiatement
Débranchez le câble ethernet physiquement. Désactivez le Wi-Fi depuis les paramètres — ou directement depuis le switch si possible. Cette action stoppe la propagation latérale et l'exfiltration de données en cours.
Changer immédiatement le mot de passe du compte concerné
Depuis un autre appareil sain, changez le mot de passe du compte utilisateur ayant cliqué. Si c'est un compte professionnel (Active Directory, M365), changez-le côté serveur. Incluez le compte email associé.
Activer le MFA si ce n'est pas encore fait
L'authentification multi-facteur empêche l'attaquant d'utiliser les credentials volés même s'il les possède. Activez-le en urgence sur tous les comptes critiques : email, VPN, outils métier.
Alerter votre IT ou prestataire informatique
Appelez immédiatement. Ne gérez pas seul un incident cyber. Infranat dispose d'une astreinte cybersécurité 24/7 : 04 28 29 40 72. Plus vite l'expert intervient, plus le périmètre de compromission est limité.
Passer en revue les accès récents depuis le compte
Depuis les logs d'authentification (M365, Azure AD, etc.), vérifiez les connexions anormales : pays inconnu, heure inhabituelle, appareil non reconnu. Révoquez les sessions actives sur tous les appareils.
Notifier la CNIL si des données personnelles sont potentiellement exposées
Le RGPD impose une notification à la CNIL dans les 72 heures en cas de violation de données personnelles. Si le compte compromis avait accès à des données clients, salariés ou patients, cette déclaration est obligatoire.
Comment identifier un email de phishing
Les signaux d'alerte à reconnaître avant de cliquer.
L'urgence artificielle
"Votre compte sera suspendu dans 24h", "Action requise immédiatement", "Votre colis ne peut pas être livré"... L'urgence force la décision avant la réflexion. Un vrai message important ne vous presse jamais à ce point.
L'expéditeur suspect
L'adresse affichée peut être falsifiée. Vérifiez l'adresse réelle (pas le nom affiché). Les domaines proches mais différents sont courants : microsoft-security.net au lieu de microsoft.com, ou un caractère unicode substitué.
Les liens qui redirigent ailleurs
Survolez (sans cliquer) pour voir l'URL réelle en bas de votre navigateur. Si le lien affiché dit "votre-banque.fr" mais l'URL réelle est un domaine différent, c'est un phishing. Utilisez un service comme URLScan.io pour analyser le lien.
Les pièces jointes inattendues
Facture non demandée, CV spontané, document partagé d'un inconnu... Les extensions .exe, .zip, .docm, .xlsm sont à risque maximal. Même les PDF et Word peuvent contenir des macros malveillantes. Si vous n'attendiez pas ce fichier, ne l'ouvrez pas.
Les chiffres du phishing en 2025
Former vos équipes : la meilleure défense
La technologie ne suffit pas. 95% des incidents cyber impliquent une erreur humaine. La formation est l'investissement le plus rentable.
Simulation de phishing
Envoyez régulièrement de faux emails de phishing à vos collaborateurs. Ceux qui cliquent sont automatiquement redirigés vers une formation. Sans expérience réelle, aucun discours ne prépare vraiment.
Sensibilisation annuelle
Une session de sensibilisation par an minimum, avec des exemples récents d'attaques réelles dans votre secteur. Les techniques évoluent rapidement — ce qui était rare en 2022 est courant en 2025.
Charte informatique
Formalisez les règles : ne jamais cliquer sur un lien suspect, signaler les emails douteux à l'IT, ne pas utiliser les emails pros pour des inscriptions personnelles. La charte engage et responsabilise.
Comment Infranat protège vos équipes
Une approche combinée : technologie de détection + formation humaine + procédures de réponse.
Simulation de phishing gérée
Campagnes de phishing simulé mensuelles, tableaux de bord d'évolution du taux de clic par équipe, modules de formation automatiques pour les cliqueurs.
EDR sur tous les postes
Notre solution EDR (Endpoint Detection & Response) détecte les comportements malveillants en temps réel — même si l'utilisateur a cliqué. Isolation automatique du poste en cas de menace confirmée.
MFA déployé sur tous les accès
Même si un mot de passe est compromis via phishing, le MFA bloque l'accès. Nous déployons et gérons le MFA sur tous les services : M365, VPN, applicatifs métier.
Filtrage email anti-phishing
Analyse des liens et pièces jointes en temps réel avant livraison dans la boîte. Les emails de phishing connus sont bloqués avant même d'arriver à vos collaborateurs.
Incident phishing en cours ?
Ne perdez pas de temps. Appelez notre ligne d'urgence cybersécurité. Nos experts sont joignables 24h/24, 7j/7 pour répondre en moins de 15 minutes.
Questions fréquentes
Protégez vos équipes avant le prochain clic
Simulation phishing · EDR · MFA · Filtrage email · Formation
Demander un audit cybersécuritéCes secteurs nous font confiance
Découvrez nos solutions adaptées à votre métier