Phishing

Comment reconnaître un email de phishing : les 12 signaux à vérifier

En 2026, les emails de phishing générés par IA sont parfaitement rédigés : oubliez le conseil « cherchez les fautes d'orthographe ». Voici les 12 signaux réellement fiables pour identifier un email frauduleux avant qu'il ne soit trop tard.

18 avril 2026 8 min de lecture ThinkTwice
L'essentiel en 30 secondes
  • Les fautes d'orthographe ne sont plus un indicateur fiable depuis l'arrivée de l'IA générative
  • Vérifiez toujours l'adresse email complète de l'expéditeur, pas le nom affiché
  • Survolez les liens sans cliquer pour voir l'URL réelle en bas du navigateur
  • Tout message créant une pression émotionnelle (urgence, peur, gain) est suspect
  • En cas de doute, vérifiez par un autre canal (appel au numéro connu)

Pourquoi les anciens signaux ne fonctionnent plus

Pendant des années, la sensibilisation au phishing reposait sur un message simple : « repérez les fautes d'orthographe et les emails mal formatés ». En 2026, ce conseil est devenu dangereux. L'IA générative permet aux attaquants de produire des emails parfaitement rédigés, dans un français impeccable, avec un ton professionnel adapté au contexte de la cible. Les filtres anti-spam arrêtent environ 80 % des tentatives, mais les 20 % qui passent sont de plus en plus sophistiqués. Vos collaborateurs ont besoin de nouveaux réflexes, basés sur un faisceau d'indices plutôt que sur un seul critère.

Voici les 12 signaux d'alerte, classés par catégorie, que chaque collaborateur devrait connaître pour reconnaître un email de phishing en entreprise.

Signaux liés à l'expéditeur

Signal 1 — L'adresse email ne correspond pas au nom affiché

Le nom affiché dans le champ « De : » est trivial à falsifier. Votre collaborateur voit « Microsoft Support » mais l'adresse réelle est support@micr0soft-help.xyz. Le réflexe : toujours cliquer sur le nom pour afficher l'adresse complète. Sur mobile, faites un appui long sur le nom de l'expéditeur.

Signal 2 — Un domaine proche mais différent de l'original

Les attaquants utilisent des domaines visuellement proches : paypai.com au lieu de paypal.com, arnazon.fr au lieu de amazon.fr, ou des sous-domaines piégés comme login.microsoft.com.attaquant.ru. Vérifiez le domaine de droite à gauche : c'est la partie après le dernier point qui compte (.ru dans l'exemple).

Signal 3 — Un domaine enregistré récemment

Les domaines légitimes ont plusieurs années d'ancienneté. Un domaine créé il y a quelques jours ou semaines est un signal fort. Les outils comme Whois permettent de vérifier la date de création, mais en contexte professionnel, le signal précédent (domaine proche) suffit généralement à déclencher le doute.

Signaux liés au contenu du message

Signal 4 — Une pression émotionnelle (urgence, peur, gain)

Le phishing repose sur des biais cognitifs. Les formulations typiques : « Action urgente requise sous 24h », « Votre compte sera suspendu », « Vous avez gagné un iPhone », « Document confidentiel — ouvrir immédiatement ». Tout message qui crée une pression émotionnelle pour vous pousser à agir avant de réfléchir est suspect. Si un email vous stresse, c'est le moment de ralentir.

Signal 5 — Une demande inhabituelle ou hors processus

Un fournisseur qui demande soudainement de modifier son RIB. Un manager qui exige un virement urgent en dehors du workflow habituel. Le service informatique qui réclame votre mot de passe par email. Ces demandes qui contournent les processus normaux sont parmi les signaux les plus fiables, car ils résistent à l'amélioration des emails par l'IA.

Signal 6 — Un ton impersonnel ou excessivement formel

Même si l'IA rédige bien, elle ne connaît pas les habitudes de communication de votre entreprise. Un collègue qui vous vouvoie alors qu'il vous tutoie d'habitude, un email sans la formule de politesse habituelle, ou un ton inhabituellement directif sont autant d'indices. Le décalage par rapport aux habitudes est un signal fort.

Signal 7 — Des informations personnelles utilisées pour crédibiliser

Le spear phishing utilise des informations publiques (LinkedIn, site web, organigramme) pour personnaliser le message. Ne vous laissez pas rassurer parce que l'email mentionne votre nom, votre poste ou un projet en cours. Ces informations sont souvent accessibles publiquement.

Signaux techniques

Signal 8 — L'URL du lien ne correspond pas au texte affiché

Survolez chaque lien avec la souris (sans cliquer) pour afficher l'URL réelle en bas du navigateur ou du client mail. L'ancre peut afficher « Connexion à votre espace client » alors que l'URL pointe vers http://faux-site.xyz/login. Sur mobile, faites un appui long pour prévisualiser l'URL. Méfiance particulière sur les URLs raccourcies (bit.ly, tinyurl) qui masquent la destination.

Signal 9 — Des pièces jointes suspectes

Les extensions dangereuses : .exe, .scr, .bat, .js, les archives .zip protégées par mot de passe (pour échapper à l'antivirus), les fichiers Office avec macros (.docm, .xlsm). Autre piège : un fichier nommé facture.pdf.exe qui ressemble à un PDF mais exécute du code. Règle absolue : ne jamais activer les macros d'un document reçu par email.

Signal 10 — L'email contient un QR code

Le quishing (phishing par QR code) est en croissance explosive (+587 % en un an). Un QR code dans un email professionnel est quasiment toujours suspect : il sert à contourner les filtres de sécurité qui analysent les liens mais pas les images. Ne scannez jamais un QR code reçu par email sans vérification préalable.

Signaux contextuels

Signal 11 — Le timing est suspect

Un email envoyé le dimanche à 3h du matin par un collègue français. Une relance « urgente » pour une facture que vous n'avez jamais reçue. Un message relatif à un projet terminé depuis des mois. Les incohérences temporelles et contextuelles sont des signaux que l'IA a du mal à reproduire car elle ne connaît pas votre quotidien.

Signal 12 — L'email vous demande de ne pas en parler

« Cette opération est confidentielle, ne prévenez pas votre hiérarchie. » Ce signal est caractéristique de la fraude au président. Tout email légitime supporte la vérification. Si on vous demande explicitement de ne pas vérifier, c'est que l'attaquant sait que la vérification ferait échouer son plan.

Le réflexe qui sauve : la vérification par un autre canal

Aucun signal isolé ne suffit à confirmer un phishing. C'est le cumul de plusieurs indices qui doit déclencher l'alerte. Et quand le doute s'installe, un réflexe simple suffit : vérifier par un autre canal. Votre fournisseur vous demande de modifier son RIB ? Appelez-le au numéro que vous avez dans vos contacts (pas celui de l'email). Votre DG ordonne un virement urgent ? Confirmez par téléphone ou en personne. Cette vérification prend 2 minutes et peut sauver des centaines de milliers d'euros.

Vos équipes sauraient-elles repérer ces 12 signaux ?

Une simulation de phishing ThinkTwice mesure le niveau réel de vigilance de vos collaborateurs — sans sanction, avec pédagogie immédiate.

Découvrir les simulations

Questions fréquentes

Comment reconnaître un email de phishing en 2026 ?

En 2026, les fautes d'orthographe ne sont plus un indicateur fiable. Il faut examiner l'adresse email complète de l'expéditeur, survoler les liens pour voir l'URL réelle, analyser le ton et les demandes inhabituelles, et vérifier les pièces jointes. Le cumul de plusieurs signaux d'alerte permet de détecter un phishing.

Les filtres anti-spam suffisent-ils à bloquer le phishing ?

Non. Les filtres arrêtent environ 80 % des tentatives, mais les 20 % restants — souvent les plus ciblés et les mieux rédigés — passent au travers. C'est pourquoi la sensibilisation des collaborateurs reste indispensable comme dernière ligne de défense.

Que faire si je suis incertain qu'un email soit du phishing ?

Ne cliquez sur rien et ne répondez pas. Vérifiez par un autre canal : appelez l'expéditeur présumé au numéro que vous connaissez déjà (pas celui de l'email). En cas de doute persistant, transférez l'email à votre service informatique ou votre RSSI.

Le phishing par IA est-il vraiment indétectable ?

Non, mais il est beaucoup plus difficile à repérer sur la forme. Les signaux contextuels (demande inhabituelle, contournement de processus, timing suspect) restent efficaces car l'IA ne connaît pas vos habitudes internes. C'est pourquoi la formation doit évoluer vers ces nouveaux réflexes.

Faire de chaque collaborateur un capteur d'alerte

Les 12 signaux présentés dans cet article ne fonctionnent que si vos collaborateurs les pratiquent régulièrement. La théorie ne suffit pas : c'est par la mise en situation répétée — via des simulations de phishing réalistes — que les réflexes s'ancrent durablement. Une entreprise dont chaque collaborateur sait reconnaître un email de phishing transforme son maillon faible en véritable réseau de capteurs d'alerte.

Testez le niveau de vigilance de vos équipes

ThinkTwice déploie des simulations de phishing sur 15 scénarios réalistes (email, SMS, QR code, deepfake), avec une pédagogie immédiate post-clic.

Réserver une démo gratuite

Pour aller plus loin

Phishing

Guide complet du phishing en entreprise

Lire Phishing

Que faire après un clic sur un phishing

Lire Phishing

Whaling et fraude au président

Lire Phishing

Spear phishing vs phishing classique

Lire Phishing

Lancer une simulation de phishing

Lire Phishing

Smishing : le phishing par SMS

Lire