En 2025, le Centre for Cybersecurity Belgium (CCB) a reçu plus de 8,5 millions de signalements via suspicious@safeonweb.be. Le phishing reste la première porte d'entrée des attaques. Voici les 8 signaux qui doivent vous alerter en moins de 30 secondes.
1. L'expéditeur est étrange
Survolez (sans cliquer) le nom de l'expéditeur : si l'adresse réelle ne correspond pas au nom affiché (ex : « bpost » envoyé depuis bpost-livraison@xyz.tk), c'est un phishing. Les vraies entreprises utilisent leur domaine officiel.
2. L'objet crée l'urgence ou la peur
« Votre compte sera bloqué dans 24h », « Tentative de connexion suspecte », « Colis en attente de paiement de 1,99 € » : la pression temporelle est l'arme n°1 des fraudeurs.
3. Les fautes de français
Les modèles d'IA ont rendu les phishing plus propres en 2025-2026, mais on trouve encore des accords bizarres, des espaces avant la ponctuation oubliés ou des tournures traduites mot à mot.
4. Un lien qui ne correspond pas
Survolez le lien (sans cliquer) : si l'URL affichée en bas du navigateur ne correspond pas au site annoncé (« bpost.be » vs « bpost-track.shop »), c'est frauduleux. Méfiez-vous des sous-domaines piégés.
5. Une demande d'informations sensibles
Aucune banque, aucune administration belge (SPF Finances, MyMinfin, Itsme) ne demande votre mot de passe, votre code PIN ou votre code de carte par email. Jamais. Même pour « vérification ».
6. Pièces jointes suspectes
Méfiez-vous des .zip, .iso, .docm, .xlsm reçus d'inconnus. Et même d'expéditeurs connus : un compte mail piraté envoie souvent des malwares à tous ses contacts.
7. Le ton ne ressemble pas à l'expéditeur habituel
Votre comptable n'écrit jamais « Cher Client, veuillez procéder au virement urgent ». Cette technique d'usurpation s'appelle le « business email compromise ». Selon Europol, c'est l'arnaque la plus coûteuse pour les PME européennes.
8. En cas de doute : signaler
Transférez l'email suspect à suspicious@safeonweb.be (Belgique) ou signal-spam.fr (France). Les autorités bloquent ainsi les domaines et URLs frauduleux. Ne répondez pas, ne cliquez pas, supprimez après signalement.
Bonus : protégez les utilisateurs autour de vous
Activez l'authentification à deux facteurs partout. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password). Faites une formation phishing à votre équipe une fois par an : les outils Mailmeteor ou Gophish permettent des tests internes.
