Vous avez cliqué sur un lien de phishing : que faire ?
Cliquer sur un lien de phishing arrive à beaucoup de personnes prudentes — c'est une erreur facile, pas une catastrophe, et ce qui compte le plus, c'est ce que vous faites ensuite. Agir vite et sereinement permet d'éviter presque tous les dégâts. Voici un guide clair, étape par étape.
D'abord, pas de panique — et ne cachez rien
La réaction la plus dommageable est de garder le silence par gêne. Les attaquants comptent précisément sur cette hésitation ; chaque minute compte, et signaler rapidement est ce qui limite les dégâts. Vous ne risquez rien à signaler une erreur — au contraire, vous aidez à protéger toute l'organisation.
Respirez un grand coup, puis suivez les étapes ci-dessous.
Étape 1 : arrêtez-vous et déconnectez-vous
Si vous avez cliqué sur un lien ou téléchargé un fichier, déconnectez l'appareil d'internet. Sur un ordinateur portable, coupez le Wi-Fi ou débranchez le câble réseau. Cela empêche un éventuel logiciel malveillant de communiquer vers l'extérieur ou de se propager.
N'éteignez pas l'ordinateur sauf si votre service informatique vous le demande — il voudra peut-être examiner ce qui s'est passé.
Étape 2 : ne saisissez rien de plus
Si le lien a ouvert une page web vous demandant votre identifiant, votre mot de passe ou vos coordonnées bancaires :
- N'y saisissez rien. Fermez la page.
- Si vous avez déjà saisi des informations, ne le passez pas sous silence — c'est important à signaler (voir l'étape 4).
Étape 3 : changez vos mots de passe
Si vous avez saisi un mot de passe — ou si vous n'êtes pas certain de l'avoir fait — changez-le dès que possible, en utilisant un autre appareil de confiance si celui touché est peut-être compromis.
- Changez le mot de passe du compte visé (par exemple votre messagerie ou un outil professionnel).
- Si vous réutilisez ce même mot de passe ailleurs, changez-le également là-bas. Les mots de passe réutilisés sont l'un des plus grands risques après un clic de phishing.
- Lorsque c'est possible, activez la double authentification (un second code envoyé sur votre téléphone ou via une application). C'est une protection supplémentaire très efficace.
Étape 4 : signalez-le sans attendre
Prévenez immédiatement votre service informatique ou sécurité, même en dehors des heures de travail si c'est possible. Donnez-leur les faits :
- À quoi ressemblait le message et de qui il semblait provenir.
- Sur quoi vous avez cliqué ou ce que vous avez téléchargé.
- Si vous avez saisi des informations, et lesquelles le cas échéant.
Votre service informatique préfère de loin être prévenu d'un clic à 21 h plutôt que de découvrir une intrusion la semaine suivante. Signaler est le réflexe responsable.
Si vous n'avez pas de service informatique, contactez la véritable organisation dont le message a usurpé l'identité (votre banque, par exemple) via son numéro de téléphone ou son site officiels — jamais les coordonnées figurant dans le message suspect.
Étape 5 : restez vigilant face aux suites
Dans les jours qui suivent, restez attentif :
- Vérifiez vos comptes à la recherche de connexions ou d'activités que vous ne reconnaissez pas.
- Surveillez vos relevés bancaires si des données financières étaient en jeu, et prévenez votre banque en cas d'anomalie.
- Méfiez-vous des nouveaux messages. Les attaquants ayant obtenu une réaction relancent souvent, parfois en prétendant vous « aider » à résoudre le problème.
Et si vous avez seulement cliqué, sans rien saisir ?
Tout va peut-être bien — mais signalez-le quand même. Le simple fait de visiter une page malveillante peut parfois suffire à causer des dégâts, et votre service informatique pourra vérifier l'appareil par précaution. Le signalement l'avertit aussi que d'autres personnes ont pu recevoir le même message.
Transformer une erreur en leçon
Une fois les gestes immédiats effectués, prenez le temps de réfléchir calmement à ce qui rendait le message convaincant. Était-ce l'urgence ? Un expéditeur d'apparence familière ? Identifier la ruse qui a fonctionné sur vous vous rend bien plus difficile à tromper la prochaine fois. Ce genre d'erreur est l'un des moyens les plus efficaces d'apprendre à rester vigilant.
Comment GottaPhish aide
Lorsqu'une personne clique sur un lien de phishing, les dégâts dépendent entièrement de la rapidité et du calme de sa réaction — et GottaPhish, avec son équipe d'experts, aide votre organisation à acquérir les bons réflexes précisément pour ces moments-là. Nos simulations réalistes permettent à chacun de vivre un clic de phishing dans un cadre totalement sûr, afin que la bonne réaction — s'arrêter, changer ses mots de passe, signaler — devienne un automatisme, appuyée par une sensibilisation bienveillante et des tableaux de bord qui suivent les taux de signalement dans le temps. Notre équipe support et experts vous accompagne concrètement pour paramétrer les campagnes, concevoir des scénarios crédibles et interpréter les résultats, afin de bâtir un environnement de travail où les erreurs sont signalées rapidement et où chacun reste protégé.
