Pourquoi chaque minute compte
Un clic sur un lien de phishing ne signifie pas nécessairement que tout est perdu. L'impact réel dépend de ce qui s'est passé après le clic : est-ce que le collaborateur a simplement ouvert une page ? A-t-il saisi ses identifiants ? A-t-il téléchargé un fichier ? Chaque scénario demande une réponse adaptée, mais tous partagent un point commun : la rapidité de réaction est le facteur déterminant.
Selon les données de réponse à incident, une entreprise qui réagit dans les 15 premières minutes réduit le coût moyen de l'incident de plus de 80 %. À l'inverse, un délai de 24 à 48 heures laisse le temps à l'attaquant de se latéraliser dans le réseau, d'exfiltrer des données ou de déployer un ransomware. D'où l'importance d'avoir un protocole clair, connu de tous, et pratiqué régulièrement.
Le protocole d'urgence en 7 étapes
Étape 1 — Déconnecter la machine du réseau
C'est la première action, à effectuer immédiatement. Coupez le Wi-Fi et débranchez le câble Ethernet. L'objectif : empêcher un éventuel malware de communiquer avec le serveur de l'attaquant et bloquer toute propagation latérale vers d'autres machines du réseau. Ne pas éteindre l'ordinateur (cela peut détruire des preuves en mémoire vive), simplement le déconnecter.
Étape 2 — Prévenir le RSSI ou la DSI sans attendre
Le collaborateur ne doit jamais tenter de résoudre le problème seul. Même si l'incident semble mineur (« j'ai juste cliqué sur un lien, je n'ai rien saisi »), le RSSI ou l'équipe IT doit être prévenu dans les minutes qui suivent. Le canal de signalement doit être connu de tous : numéro de téléphone direct, canal Slack dédié, ou bouton de signalement dans le client mail.
Étape 3 — Changer immédiatement les mots de passe
Si le collaborateur a saisi des identifiants sur un faux site, il faut changer le mot de passe du compte compromis dans les minutes qui suivent — depuis un autre appareil (un téléphone non compromis, par exemple). Étendre le changement à tous les comptes utilisant le même mot de passe (oui, beaucoup de gens réutilisent leurs mots de passe). Activer l'authentification multifacteur (MFA) si elle n'est pas encore en place.
Étape 4 — Identifier ce qui a été exposé
L'équipe IT doit évaluer l'étendue de la compromission : quels identifiants ont été saisis ? Quels documents étaient accessibles depuis la session ? Des coordonnées bancaires ou des RIB ont-ils été transmis ? Des fichiers ont-ils été téléchargés ? Cette évaluation conditionne toutes les actions suivantes.
Étape 5 — Surveiller les comptes potentiellement compromis
Vérifier les connexions récentes sur les comptes exposés (la plupart des services cloud — Microsoft 365, Google Workspace — permettent de voir l'historique des connexions). Chercher des règles de transfert de mails ajoutées à votre insu (technique classique : l'attaquant redirige silencieusement vos emails vers une adresse externe). Surveiller les comptes bancaires si des données financières ont été exposées.
Étape 6 — Déposer plainte si nécessaire
En cas de fraude financière avérée (virement effectué, fonds détournés), deux actions urgentes : contacter la banque pour tenter un rappel de fonds (plus efficace dans les 24 premières heures) et déposer plainte (commissariat, gendarmerie, ou plateforme Thésée pour les fraudes en ligne). Si des données personnelles de tiers ont été compromises, la notification à la CNIL est obligatoire sous 72 heures (obligation RGPD).
Étape 7 — Documenter l'incident pour le RETEX
Conserver toutes les preuves : l'email de phishing original (ne pas le supprimer), les captures d'écran du faux site, la chronologie des actions, les logs techniques. Ce dossier alimentera le retour d'expérience (RETEX) et permettra d'adapter les prochaines campagnes de sensibilisation. Un incident bien documenté est un incident dont toute l'entreprise tire des leçons.
La règle d'or : ne jamais punir, toujours remercier
C'est le point le plus important de cet article. Ne sanctionnez jamais un collaborateur qui signale qu'il a cliqué sur un lien suspect. Jamais. L'enjeu est simple : une entreprise qui punit les erreurs est une entreprise où personne ne signale — et où les incidents passent inaperçus pendant des jours ou des semaines, avec des conséquences exponentiellement plus graves.
La bonne posture : remercier le signalement (« merci d'avoir remonté ça rapidement »), analyser l'incident sans jugement, et transformer chaque cas en moment d'apprentissage collectif. C'est cette culture du signalement qui fait la différence entre une entreprise résiliente et une entreprise vulnérable.
Intégrez le protocole d'urgence dans l'onboarding de chaque nouveau collaborateur. Affichez le numéro de signalement IT sur les fonds d'écran. Plus le réflexe est ancré, plus la réaction sera rapide le jour J.
Prévenir le prochain incident
Réagir après un clic est nécessaire. Prévenir le clic suivant est l'objectif. Trois actions concrètes après chaque incident :
Analyser le scénario qui a fonctionné : quel type de phishing (email, SMS, QR code) ? Quel levier psychologique (urgence, autorité, curiosité) ? Quel service était ciblé ? Cette analyse alimente directement vos prochaines simulations de phishing.
Communiquer en interne : partagez l'incident (anonymisé) avec toute l'entreprise. Un email court décrivant le scénario et les signaux à repérer a plus d'impact que n'importe quelle formation théorique.
Renforcer les contrôles techniques : MFA sur tous les comptes critiques, filtrage des pièces jointes, politique de changement de RIB avec double validation téléphonique. La technique ne remplace pas l'humain, mais elle réduit la surface d'attaque.