Les attaques par e-mail qui ciblent les TPE et PME : comment les reconnaître et s’en protéger

28 juin 2026
Cybersécurité, Non classé

L’e-mail est au cœur du quotidien d’une entreprise : demandes de devis, factures, échanges avec les clients, commandes fournisseurs, partage de documents, accès aux outils Microsoft 365 ou Google Workspace… C’est aussi l’un des moyens les plus utilisés par les cybercriminels pour entrer dans une organisation.

Contrairement aux idées reçues, une TPE ou une PME n’est pas « trop petite » pour être ciblée. Les attaques sont souvent automatisées, peu coûteuses à lancer et reposent davantage sur la manipulation humaine que sur une faille technique complexe. Un seul clic, une validation trop rapide ou un mot de passe saisi sur une fausse page peut suffire à compromettre une boîte mail, déclencher une fraude au virement ou ouvrir la porte à une attaque plus grave.

Voici les principales attaques par e-mail auxquelles les entreprises doivent se préparer, ainsi que les réflexes à adopter.

1. Le phishing : le faux e-mail qui cherche à voler vos accès

Le phishing, aussi appelé hameçonnage, consiste à envoyer un message qui imite une organisation connue : Microsoft, votre banque, un transporteur, les impôts, un fournisseur, un service de paiement ou même un collègue.

L’objectif est généralement de vous pousser à cliquer sur un lien et à saisir vos identifiants sur une fausse page. Le site peut ressembler presque parfaitement à la page de connexion Microsoft 365, Outlook, Google, Dropbox ou à l’espace client d’une banque.

Les prétextes les plus fréquents sont :

  • « Votre boîte mail va être désactivée »
  • « Un document important vous a été partagé »
  • « Votre mot de passe expire aujourd’hui »
  • « Une facture est en attente de règlement »
  • « Votre compte a été bloqué pour activité inhabituelle »
  • « Vous devez confirmer votre identité »
  • « Un colis ou une commande nécessite une action »

Le danger ne s’arrête pas au mot de passe volé. Une boîte mail compromise permet parfois à un attaquant de lire les échanges, d’accéder aux documents partagés, de se faire passer pour un salarié ou de lancer une fraude auprès des clients et fournisseurs.

Le bon réflexe : ne cliquez pas sur un lien reçu par e-mail pour vous connecter à un service important. Ouvrez plutôt votre navigateur et accédez directement au site habituel ou utilisez vos favoris enregistrés.

2. Le spear phishing : une attaque ciblée et crédible

Le spear phishing est une version plus sophistiquée du phishing. Ici, le message n’est pas envoyé au hasard : il est adapté à l’entreprise, au métier ou à la personne visée.

L’attaquant peut récupérer des informations sur le site Internet de l’entreprise, LinkedIn, les réseaux sociaux ou une ancienne fuite de données. Il utilise ensuite ces éléments pour rendre son e-mail crédible.

Exemples :

  • Un faux message qui semble venir d’un fournisseur connu.
  • Une demande de devis adressée au commercial avec les bons produits ou services.
  • Un e-mail imitant le cabinet comptable de l’entreprise.
  • Une fausse candidature accompagnée d’un CV en pièce jointe.
  • Un message qui reprend le nom d’un dirigeant, d’un salarié ou d’un client réel.

Cette attaque est particulièrement efficace car le contenu paraît cohérent avec l’activité de l’entreprise. Le destinataire baisse alors plus facilement sa vigilance.

Le bon réflexe : un e-mail crédible n’est pas forcément un e-mail légitime. Vérifiez toujours l’adresse complète de l’expéditeur, pas uniquement le nom affiché. Une adresse comme [email protected] peut imiter un vrai domaine tel que [email protected].

3. La fraude au président : le faux dirigeant qui demande une action urgente

La fraude au président, également appelée FOVI pour « fraude au virement », vise souvent les dirigeants, les responsables administratifs, la comptabilité ou les personnes capables d’effectuer un paiement.

L’attaquant se fait passer pour le dirigeant de l’entreprise et demande une action urgente et confidentielle. Le ton est souvent direct :

« Je suis en réunion, je ne peux pas répondre. Peux-tu faire ce virement rapidement ? »
« Il s’agit d’un dossier sensible, ne contacte personne pour le moment. »
« J’ai besoin que tu achètes des cartes cadeaux pour un client. »

Le cybercriminel joue sur trois leviers : l’urgence, l’autorité et la confidentialité. Il cherche à empêcher la victime de vérifier la demande auprès d’un collègue.

Cette attaque peut aussi prendre la forme d’une fausse demande d’achat de cartes cadeaux, de paiement d’une facture exceptionnelle ou d’un transfert vers un nouveau compte bancaire.

Le bon réflexe : aucune demande de virement inhabituelle ne doit être exécutée par simple e-mail. Mettez en place une procédure de double validation et appelez le demandeur sur son numéro habituel, jamais sur un numéro fourni dans le message.

4. La fraude au faux RIB et au changement de coordonnées bancaires

Cette fraude cible directement les entreprises qui règlent des fournisseurs ou reçoivent des virements de clients.

L’attaquant envoie un e-mail en se faisant passer pour un fournisseur connu. Il indique qu’il a changé de banque et demande que les prochaines factures soient réglées sur un nouveau RIB. Dans certains cas, il répond directement à une véritable conversation entre le fournisseur et l’entreprise après avoir compromis une boîte mail.

Le message peut être très convaincant : logo, signature, numéro de facture réel, nom d’un interlocuteur connu et ton professionnel.

Les conséquences peuvent être importantes : un virement envoyé sur un mauvais compte est difficile à récupérer, surtout si la fraude n’est détectée qu’après plusieurs jours.

Le bon réflexe : tout changement de RIB doit être confirmé par téléphone, via un numéro déjà connu de votre fournisseur. Ne vous fiez jamais uniquement à l’adresse e-mail ou à un RIB joint au message.

5. La compromission de boîte mail : l’attaquant utilise un vrai compte

Dans certains cas, le cybercriminel ne crée pas une fausse adresse. Il prend le contrôle d’une véritable boîte mail : celle d’un fournisseur, d’un client ou parfois d’un salarié de votre entreprise.

Il peut alors lire les échanges, attendre le bon moment et répondre dans une conversation réelle. Cette technique est particulièrement dangereuse car le message provient d’une adresse légitime et peut contenir tout l’historique de discussion.

Exemple : vous échangez avec un fournisseur au sujet d’une commande. Quelques jours avant le paiement, vous recevez un message depuis sa véritable adresse demandant de modifier le RIB. En réalité, sa messagerie a été compromise.

Le bon réflexe : même dans une conversation existante, une demande de paiement ou de changement de coordonnées bancaires doit être vérifiée par un autre moyen de communication.

6. Les pièces jointes piégées : facture, devis, CV ou bon de livraison

Les pièces jointes restent un moyen courant pour infecter un ordinateur. Elles prennent souvent l’apparence d’un document professionnel banal :

  • facture ;
  • devis ;
  • bon de commande ;
  • bon de livraison ;
  • CV ;
  • demande de paiement ;
  • document partagé ;
  • archive ZIP ;
  • faux PDF ;
  • fichier Excel ou Word demandant d’« activer le contenu ».

Une fois ouverte, la pièce jointe peut rediriger vers une fausse page de connexion, installer un logiciel malveillant ou télécharger un programme capable de voler des informations.

Dans les cas les plus graves, ce type d’infection peut devenir le point de départ d’un rançongiciel. Les attaquants cherchent alors à chiffrer les fichiers de l’entreprise, à voler les données et à bloquer l’activité jusqu’au paiement d’une rançon.

Le bon réflexe : n’ouvrez pas une pièce jointe inattendue, même si elle semble provenir d’un interlocuteur connu. En cas de doute, contactez l’expéditeur par téléphone ou créez un nouveau message à partir de son adresse habituelle.

7. Les faux partages de fichiers Microsoft 365, Google Drive ou Dropbox

Les outils collaboratifs sont désormais très utilisés en entreprise. Les cybercriminels l’ont compris et imitent les notifications de partage de fichiers.

Vous pouvez recevoir un e-mail indiquant qu’un document a été partagé avec vous : devis, contrat, facture, dossier RH, commande ou plan. Le lien redirige ensuite vers une fausse page de connexion Microsoft 365, Google Workspace ou Dropbox.

Le message peut contenir les bons logos et reproduire l’apparence d’une notification officielle. Il est donc important de ne pas se fier uniquement au design de l’e-mail.

Le bon réflexe : ouvrez directement votre espace Microsoft 365, Google Drive ou Dropbox pour vérifier si un document est réellement disponible. Ne passez pas par le lien du message en cas de doute.

8. Le quishing : le phishing par QR code

Le quishing est une attaque par QR code. L’e-mail contient une image avec un code à scanner, souvent présenté comme un moyen de consulter un document, de valider une connexion ou de sécuriser un compte.

Le QR code masque l’adresse du site vers lequel il renvoie. Cela rend la fraude plus difficile à repérer, notamment lorsque le salarié scanne le code avec son téléphone personnel.

Les attaquants peuvent s’en servir pour imiter une connexion Microsoft 365, un portail RH, une banque ou une demande de validation urgente.

Le bon réflexe : ne scannez pas un QR code reçu par e-mail sans avoir vérifié son origine. Lorsqu’un service vous demande une action importante, utilisez son application ou son site officiel plutôt qu’un lien ou un QR code reçu dans un message.

Les signaux qui doivent alerter

Même si les attaques deviennent plus soignées, plusieurs indices doivent attirer votre attention :

  • Une demande urgente ou inhabituelle.
  • Une pression pour agir vite ou garder l’information confidentielle.
  • Une adresse e-mail légèrement différente de l’adresse habituelle.
  • Une faute dans le nom de domaine ou une extension inhabituelle.
  • Un lien qui ne correspond pas au site officiel.
  • Une pièce jointe que vous n’attendiez pas.
  • Une demande de mot de passe, de code de validation ou de coordonnées bancaires.
  • Une demande de changement de RIB.
  • Un ton qui ne ressemble pas à celui de votre interlocuteur habituel.
  • Une demande de paiement, de carte cadeau ou de virement hors procédure.

Un e-mail peut être parfaitement écrit, utiliser un bon logo et contenir le nom réel de vos collaborateurs. La vigilance ne doit donc pas reposer uniquement sur les fautes d’orthographe ou la qualité du message.

Comment protéger votre TPE ou PME contre les attaques par e-mail ?

La sécurité ne repose pas sur une seule solution. Elle combine des outils, des règles simples et une équipe sensibilisée.

1. Activer l’authentification multifacteur

L’authentification multifacteur ajoute une protection supplémentaire lors de la connexion à une boîte mail ou à un outil cloud. Même si un mot de passe est volé, l’attaquant aura plus de difficultés à accéder au compte.

Elle doit être activée en priorité sur :

  • les boîtes mail professionnelles ;
  • les comptes Microsoft 365 ou Google Workspace ;
  • les comptes administrateurs ;
  • les outils comptables ;
  • les accès bancaires ;
  • les plateformes de sauvegarde ;
  • les accès distants.

2. Mettre en place une protection de messagerie adaptée

Un antispam professionnel et une protection contre le phishing permettent de bloquer une partie importante des messages malveillants avant qu’ils n’atteignent les utilisateurs.

Cette protection doit idéalement inclure l’analyse des liens, des pièces jointes, des usurpations d’identité et des domaines similaires à ceux de vos fournisseurs ou de votre entreprise.

Aucun filtre n’est infaillible. L’objectif est de réduire le volume de messages dangereux et de limiter les risques, pas de remplacer la vigilance humaine.

3. Créer une procédure pour les paiements sensibles

Les virements, changements de RIB et demandes urgentes doivent être encadrés par une procédure claire.

Par exemple :

  • Vérification téléphonique obligatoire pour tout nouveau RIB.
  • Double validation pour les virements importants.
  • Interdiction d’envoyer des codes de validation par e-mail ou téléphone.
  • Validation par un second interlocuteur en cas de demande inhabituelle.
  • Liste à jour des fournisseurs et de leurs coordonnées officielles.

Cette procédure doit être connue de toutes les personnes qui gèrent les achats, les paiements ou la comptabilité.

4. Sensibiliser les collaborateurs régulièrement

La sensibilisation est indispensable. Les cybercriminels cherchent avant tout à provoquer une réaction humaine : cliquer, répondre, transmettre un code ou effectuer un paiement.

Une sensibilisation efficace doit être concrète, régulière et adaptée aux situations rencontrées dans l’entreprise. Elle peut inclure des exemples de faux e-mails, des rappels simples et des simulations de phishing.

L’objectif n’est pas de culpabiliser les collaborateurs, mais de leur donner le réflexe de demander de l’aide en cas de doute.

5. Sécuriser les postes et les comptes

Une attaque par e-mail est plus dangereuse lorsque les postes, les logiciels ou les comptes ne sont pas correctement protégés.

Les fondamentaux restent essentiels :

  • mises à jour régulières des postes et logiciels ;
  • antivirus ou EDR professionnel ;
  • droits administrateur limités ;
  • mots de passe uniques et robustes ;
  • sauvegardes vérifiées ;
  • supervision des alertes importantes ;
  • suppression rapide des comptes inutilisés.

6. Préparer une réaction simple en cas d’incident

Un salarié doit savoir quoi faire s’il a cliqué sur un lien suspect ou ouvert une pièce jointe douteuse.

La règle doit être simple : ne pas cacher l’erreur et prévenir immédiatement.

En cas de doute ou de clic sur un message malveillant :

  1. Prévenez immédiatement votre prestataire informatique ou votre référent cybersécurité.
  2. Ne communiquez pas vos codes de validation.
  3. Changez le mot de passe depuis un poste fiable si des identifiants ont été saisis.
  4. Vérifiez les connexions inhabituelles sur le compte concerné.
  5. Conservez le message frauduleux pour analyse.
  6. En cas de virement, contactez immédiatement votre banque.
  7. En cas de suspicion de rançongiciel, déconnectez le poste ou le réseau concerné et alertez sans attendre.

La messagerie : un outil indispensable à protéger

Les attaques par e-mail ne concernent pas uniquement les grandes entreprises. Elles visent toutes les organisations qui utilisent une messagerie, gèrent des clients, paient des fournisseurs ou stockent des données importantes.

La meilleure protection repose sur une combinaison de bonnes pratiques : sécurisation des comptes, protection de messagerie, procédures de validation, sauvegardes, supervision et sensibilisation des équipes.

Chez No More Crash, nous accompagnons les TPE et PME dans la sécurisation de leur messagerie, de leurs postes de travail et de leurs outils Microsoft 365. L’objectif est simple : réduire les risques, détecter rapidement les incidents et permettre à votre entreprise de continuer à travailler sereinement.

Prendre contact