Pourquoi 30 secondes suffisent

Sur le terrain, vous n'avez pas dix minutes pour expertiser chaque mail. La règle Humanix : un mail se classe en 30 secondes ou bien on le signale au RSSI sans culpabiliser.

La grille des 5 vérifications

1. L'expéditeur : zoomez sur le domaine après le @. @microsoft.com est légitime, @micr0soft-secure.com est faux. Un zéro à la place du O, un tiret en plus, un point manquant : c'est typique du typosquatting.

2. Le ton : urgence, menace, peur de la perte. Ces leviers émotionnels court-circuitent la réflexion. Un mail légitime vous laisse le temps de réfléchir.

3. Le lien : survolez sans cliquer. Le vrai lien apparaît en bas du navigateur. S'il ne correspond pas au texte affiché ou au domaine attendu, c'est non.

4. La demande : un mot de passe, des coordonnées bancaires, une copie de pièce d'identité ? Aucun service légitime ne demande ça par mail.

5. La pièce jointe : .exe, .docm, .iso, .zip, .html. Si c'est un format que vous n'attendez pas, ne l'ouvrez pas.

Le réflexe « 2 sur 5 »

Si vous cochez au moins deux cases sur cinq, c'est un phishing à 95 %. Pas besoin d'être sûr à 100 %. Signalez via le bouton « Signaler un message » dans Outlook ou en transférant au RSSI.

Le piège de l'orthographe parfaite

En 2026, les attaquants utilisent ChatGPT. L'orthographe parfaite ne prouve plus rien. Concentrez-vous sur le domaine et la demande, pas sur la qualité du français.

Que faire si vous avez cliqué

Pas de panique : changez immédiatement le mot de passe du service concerné, activez le MFA si ce n'est pas fait, signalez au RSSI pour qu'il vérifie les journaux et prévienne d'autres collègues qui auraient reçu la même attaque.