Phishing en entreprise : pourquoi votre équipe est votre plus grande faille

L'email qui a coûté 15 millions de FCFA

Fatou, comptable dans une PME dakaroise, reçoit un email de sa banque l'informant que son compte professionnel a été temporairement suspendu. Le message est urgent, le logo est parfait, le lien semble légitime. Elle clique, entre ses identifiants, et en 48 heures, 15 millions de FCFA disparaissent du compte de l'entreprise.

Ce scénario se produit des centaines de fois par semaine en Afrique. Et il ne touche pas que les grandes entreprises — les PME sont les cibles privilégiées.

Le phishing en chiffres

La menace n°1 en entreprise

• 73% des entreprises touchées par une cyberattaque l'ont été via du phishing
• 62% des professionnels africains considèrent les cyberattaques comme le risque n°1 pour les entreprises du continent
• 1 800 cyberattaques par semaine en Afrique, dont la majorité commence par un email de phishing
• Le phishing a augmenté de 150% en 3 ans sur le continent

Le coût pour les PME

En Afrique, les pertes liées à la cybercriminalité dépassent 10 milliards de dollars par an. Pour une PME, un seul incident de phishing réussi peut signifier :

• Perte financière directe (virement frauduleux)
• Vol de données clients
• Arrêt d'activité pendant plusieurs jours
• Perte de confiance des clients et partenaires

Les 7 types de phishing qui ciblent les PME africaines

1. Le phishing classique par email

Un email imitant votre banque, Orange Money, Wave, ou un service connu. Il vous demande de "vérifier votre compte", "mettre à jour vos informations" ou "confirmer une transaction". Le lien mène à un faux site qui capture vos identifiants.

2. Le spear phishing (phishing ciblé)

Contrairement au phishing de masse, le spear phishing vise une personne spécifique. L'attaquant a fait ses recherches : il connaît votre nom, votre poste, le nom de votre entreprise. L'email semble venir de votre patron, d'un collègue ou d'un partenaire connu.

3. Le smishing (phishing par SMS)

Un SMS qui prétend venir de Wave, Orange Money ou d'un service de livraison : "Votre colis est en attente, cliquez ici pour confirmer." Le lien mène à un site malveillant ou installe un logiciel espion sur votre téléphone.

4. Le vishing (phishing vocal)

Un appel téléphonique d'un "technicien" de votre banque ou de votre opérateur qui vous demande vos codes d'accès pour "résoudre un problème technique urgent". Avec les deepfakes vocaux, ces appels deviennent de plus en plus convaincants.

5. Le phishing WhatsApp

Messages de "fournisseurs" avec des factures en pièce jointe, liens de "confirmation de commande", ou invitations à rejoindre des groupes professionnels piégés. WhatsApp étant l'outil de communication principal pour beaucoup de PME africaines, c'est un vecteur d'attaque privilégié.

6. Le phishing via réseaux sociaux

Faux profils LinkedIn de "recruteurs" ou de "partenaires potentiels" qui envoient des liens malveillants. Fausses pages Facebook d'entreprises connues offrant des "promotions" ou des "partenariats".

7. Le BEC (Business Email Compromise)

L'attaquant pirate ou usurpe l'email d'un dirigeant ou d'un fournisseur pour envoyer des instructions de virement. C'est la forme la plus coûteuse de phishing, avec des pertes moyennes de plusieurs millions de FCFA par incident.

Comment reconnaître un email de phishing

Les signaux d'alerte visuels

• L'adresse email de l'expéditeur — vérifiez le domaine après le @. "support@0range-money.com" n'est pas "support@orange.com"
• Les fautes d'orthographe — les emails légitimes de grandes entreprises sont rarement truffés de fautes
• Les liens suspects — survolez le lien SANS cliquer pour voir l'URL réelle. Si elle ne correspond pas au site officiel, c'est suspect
• Les pièces jointes inattendues — surtout les .exe, .zip, .scr ou les PDF avec des macros

Les signaux d'alerte comportementaux

• L'urgence — "Votre compte sera fermé dans 24h", "Action immédiate requise"
• La peur — "Activité suspecte détectée", "Votre compte a été compromis"
• L'appât — "Vous avez gagné", "Remboursement en attente", "Offre exclusive"
• La pression hiérarchique — "Le DG demande que ce soit fait immédiatement"

Le test du bon sens

Posez-vous ces questions :

1. Est-ce que j'attendais cet email ?
2. Est-ce que cette demande est habituelle ?
3. Est-ce que je peux vérifier par un autre canal ?

Si la réponse à l'une de ces questions est "non", ne cliquez pas et vérifiez.

Former votre équipe : le plan en 4 étapes

Étape 1 : La session de sensibilisation (1h)

Réunissez votre équipe et montrez-leur :

• Des exemples réels de phishing (captures d'écran)
• Comment vérifier un email suspect (survoler les liens, vérifier l'expéditeur)
• La procédure en cas de doute (ne pas cliquer, signaler au référent)

Étape 2 : Les simulations de phishing

Envoyez régulièrement des faux emails de phishing à vos employés pour tester leurs réflexes. Ce n'est pas pour piéger ou punir — c'est pour entraîner. Les employés qui cliquent reçoivent une mini-formation immédiate.

C'est exactement ce que fait RoxShield, notre plateforme de cybersécurité humaine, avec des scénarios adaptés au contexte africain (faux Wave, faux Orange Money, faux fournisseurs locaux).

Étape 3 : Le réflexe de signalement

Créez une culture du signalement sans culpabilité. Un employé qui signale un email suspect — même si c'est un faux positif — doit être remercié, pas critiqué. Mieux vaut 10 fausses alertes qu'une attaque réussie passée sous silence.

Mettez en place un canal simple : un email dédié (securite@votreentreprise.com) ou un groupe WhatsApp "Alertes Sécurité".

Étape 4 : Les rappels réguliers

La sensibilisation n'est pas un événement ponctuel. Envoyez un rappel mensuel de 2 minutes : une astuce, un exemple récent, un chiffre marquant. La répétition crée le réflexe.

Outils gratuits pour tester et former votre équipe

• Google Phishing Quiz — un quiz interactif pour apprendre à reconnaître le phishing (gratuit)
• GCA Cybersecurity Toolkit — boîte à outils complète en français (gcatoolkit.org)
• KnowBe4 Free Tools — tests de simulation basiques gratuits
• Have I Been Pwned — vérifiez si les emails de votre équipe ont fuité dans des bases volées (haveibeenpwned.com)

Les bonnes pratiques techniques

En complément de la formation humaine, mettez en place ces mesures techniques :

1. Filtre anti-spam — activez les filtres avancés de votre fournisseur email
2. DMARC/SPF/DKIM — configurez ces protocoles sur votre domaine pour empêcher l'usurpation de votre adresse email
3. MFA obligatoire — même si un mot de passe est volé, le compte reste protégé
4. Politique de mots de passe — longueur minimale, gestionnaire de mots de passe obligatoire
5. Navigation sécurisée — activez Google Safe Browsing et bloquez les sites malveillants connus

Conclusion : votre équipe, votre meilleur antivirus

Aucun logiciel ne remplacera la vigilance humaine. Un employé formé qui reconnaît un email de phishing est plus efficace que le meilleur antivirus du monde.

Investir une heure par trimestre dans la formation de vos équipes est le meilleur retour sur investissement en cybersécurité. C'est gratuit, c'est simple, et ça bloque 80% des attaques.

Prêt à transformer votre équipe en bouclier anti-phishing ? Découvrez RoxShield et nos formations cybersécurité adaptées au contexte africain. Contactez-nous.

Sources : Agence Ecofin 2026 — Risques cyber en Afrique, Orange Cyberdefense — Cybersécurité TPE/PME Afrique, Kaspersky Africa Report 2025, CCarrée — Cybersécurité PME Sénégal 2026.