Les entreprises encouragent activement leurs collaborateurs à signaler les tentatives de phishing. Pourtant, dans les faits, ces signalements sont souvent traités de façon superficielle ou avec une priorité faible par les équipes IT, malgré leur récurrence et leur impact potentiel très élevé. Ce paradoxe crée une situation où les alertes remontent efficacement, mais leur gestion reste approximative.

Ce manque d'attention provient généralement du fait que les signalements de phishing sont perçus comme moins stimulants techniquement que des incidents tels que des escalades de privilèges ou des attaques avancées. Pourtant, négliger ces alertes revient à laisser ouverte une porte majeure aux cybercriminels. Voici donc les pratiques concrètes indispensables pour traiter sérieusement et efficacement les signalements de phishing dans votre entreprise.

Laisser la possibilité de notifier un phishing via un bouton

✅ Description :
Mettre à disposition des utilisateurs un bouton dédié pour signaler facilement les emails suspects simplifie la démarche, favorise une meilleure réactivité face au phishing, et améliore globalement la qualité des alertes remontées à l'équipe sécurité.

📝 Exemple concret :
Intégrer le bouton « Signaler phishing » directement dans l’interface Outlook ou OWA permet aux collaborateurs de remonter en un clic les messages suspects sans devoir rédiger manuellement un signalement détaillé.

⚠️ Point d'attention :
Veiller à ce que le bouton soit toujours visible et accessible, quel que soit le type de connexion utilisé (desktop, mobile, webmail).

Répondre aux utilisateurs qui reportent le phishing

✅ Description :
Répondre rapidement et clairement aux utilisateurs qui signalent un phishing est essentiel pour maintenir leur motivation à alerter. Une réponse professionnelle renforce leur confiance dans le processus de sécurité et améliore la qualité des futures remontées.

📝 Exemple concret :
Suite à un signalement concernant une tentative d’usurpation d’identité d’un cabinet d’avocat piraté, l’équipe IT remercie l'utilisateur et indique que l'incident est en cours d’investigation technique approfondie.

⚠️ Point d'attention :
La réponse doit être professionnelle, concise, factuelle, neutre et éviter tout jugement sur l'utilisateur ou l’expéditeur signalé.

Le gérer en incident via un ticket

✅ Description :
Chaque signalement de phishing doit déclencher systématiquement la création d'un ticket d’incident, assurant un suivi précis, documenté et structuré des investigations, des actions prises et facilitant la traçabilité complète des incidents de sécurité.

📝 Exemple concret :
Lorsqu’un collaborateur signale un phishing ciblant la DAF, un ticket « incident sécurité » est immédiatement créé dans Jira, permettant une affectation claire, un suivi rigoureux et une résolution documentée.

⚠️ Point d'attention :
Éviter toute confusion entre SPAM et phishing, car les indicateurs et actions associées sont différents (sécurité vs gestion courante).

Vérifier si le phishing concerne d’autre personne

✅ Description :
Lorsque vous recevez un signalement de phishing, il est essentiel d'évaluer immédiatement si d’autres utilisateurs ont reçu le même email, afin de déterminer l’ampleur réelle de l’attaque et prendre rapidement les mesures adaptées.

📝 Exemple concret :
Un phishing usurpant l'identité d'un cabinet d'avocats est signalé. Une recherche rapide montre que 12 collaborateurs ont reçu ce mail, ce qui déclenche une suppression automatisée dans toutes les boîtes concernées.

⚠️ Point d'attention :
Dès confirmation du phishing, pensez à supprimer rapidement l’email frauduleux des boîtes concernées afin d’éviter toute propagation ou activation involontaire.

En cas de compromission changement de mot de passe forcé

✅ Description :
En cas de compromission avérée, il est crucial de procéder immédiatement à une réinitialisation forcée du mot de passe de l’utilisateur affecté afin de limiter l’accès non autorisé et prévenir tout risque de propagation ou de dommage supplémentaire.

📝 Exemple concret :
Un utilisateur saisit son mot de passe Windows sur une fausse page Microsoft. L’équipe IT déclenche alors sans délai une réinitialisation forcée de son compte et l’informe immédiatement des nouvelles procédures d’accès.

⚠️ Point d'attention :
Le changement forcé doit être réalisé très rapidement après la compromission pour minimiser efficacement les risques associés à l’accès frauduleux.

En cas de compromission, déconnexion de tous les comptes

✅ Description :
Lorsqu'une compromission est détectée, toutes les sessions actives associées à ce compte doivent être immédiatement fermées pour éviter que l'attaquant ne conserve un accès malgré un changement de mot de passe.

📝 Exemple concret :
Après avoir changé en urgence le mot de passe d’un utilisateur compromis, l'équipe sécurité force également la fermeture de toutes ses sessions actives (Outlook, Teams, VPN) pour neutraliser complètement l'intrusion.

⚠️ Point d'attention :
Évitez de prévenir l’utilisateur par Teams ou mail si l’attaquant est potentiellement actif afin d’éviter d’alerter prématurément le cybercriminel. Il est préférable de le contacter par son numéro de portable ou email personnel.

En cas de compromission, revue complète des comptes de l’utilisateur SSO ou non

✅ Description :
Lors d'une compromission, effectuez systématiquement une revue complète des accès de l'utilisateur concerné, incluant aussi bien les comptes SSO que ceux indépendants, afin d'éviter toute réutilisation du mot de passe compromis.

📝 Exemple concret :
Un utilisateur compromis utilise le même mot de passe Windows pour administrer un outil RH indépendant du SSO. L'équipe IT déclenche alors une revue approfondie de l'ensemble de ses accès professionnels et sensibilise aux risques personnels.

⚠️ Point d'attention :
Les comptes personnels sont gérés différemment ; informez toutefois l'utilisateur afin qu'il puisse sécuriser ses comptes privés (réseaux sociaux, messagerie personnelle).

Aller plus loin

Nous accompagnons sur la sensibilisation et sommes désormais partenaire Proofpoint

Au plaisir de vous proposer un Pilote

RESSOURCES CYBERLEAD

TEMPLATE BUDGET CYBERSECURITE

Ce mois-ci, on partage un template de budget cybersécurité. Il est conçu pour aider à structurer les demandes, poser les priorités, et donner des éléments concrets aux décideurs. Pas un document miracle, mais un point de départ solide pour mieux préparer les échanges budgétaires à venir.

https://www.cyberlead.fr/post/template-budget-cyber

WEBINAIRE - MISSION DECROCHER SON BUDGET CYBER

Rejoignez pour une session webinar où l’on simulera des négociations cybersécurité avec son DSI.

Le Jeudi 26 juin à 17h

inscription : https://www.cyberlead.fr/post/cyberlead-webinaire

KIT DOCUMENTAIRE RSSI

Un ensemble de templates prêts à l’emploi pour structurer et piloter efficacement la cybersécurité de votre organisation : PSSI, gestion des dérogations, questionnaires fournisseurs, inventaire des applications critiques, analyses de risques flash, dashboards, PCA/PCI, et plans d’action incidents.

https://www.cyberlead.fr/post/kit-documentaire-rssi