⚠ Alerte Sécurité

Vous venez d'être la cible d'un test de phishing Campagne de sensibilisation interne — ELO ENERGIE

L'e-mail et la page web sur lesquels vous avez saisi vos identifiants n'étaient pas authentiques. Ils faisaient partie d'un exercice organisé par le Service Informatique pour sensibiliser les collaborateurs aux attaques par hameçonnage.

Pas de panique : aucune donnée n'a été compromise. Cette campagne est entièrement pilotée en interne par le Service Informatique d'ELO ENERGIE. Les identifiants saisis ne sont ni exploités, ni stockés sur des serveurs externes. Seul le constat de la soumission est enregistré pour mesurer l'efficacité de la sensibilisation et il n'y aura aucune sanction individuelle : l'objectif est purement pédagogique.

Pourquoi ce test ?

Le phishing (ou hameçonnage) est aujourd'hui la porte d'entrée n°1 des cyberattaques en entreprise. Un seul identifiant compromis suffit à donner à un attaquant l'accès à votre messagerie, à vos fichiers, voire au système d'information complet d'ELO ENERGIE.

Former les équipes à reconnaître ces tentatives est aussi important que les protections techniques (antivirus, pare-feu, filtrage des e-mails). Ce test vous permet d'identifier concrètement les signaux d'alerte que vous rencontrerez un jour dans une attaque réelle.

Reconnaître un e-mail frauduleux

01 — EXPÉDITEUR

L'adresse d'envoi

Vérifiez l'adresse complète de l'expéditeur (et non uniquement le nom affiché). Un domaine approchant mais inexact (ex : @micr0soft.com) est un signal fort.

02 — URGENCE

La pression au temps

« Action requise sous 24 h », « Votre compte sera suspendu »… L'urgence artificielle sert à court-circuiter votre réflexion. Prenez toujours le temps de vérifier.

03 — LANGAGE

Fautes, ton impersonnel

Fautes d'orthographe, tournures étranges, formule générique type « Cher client » alors qu'on vous connaît nominalement : autant d'indices d'un message frauduleux.

04 — LIENS

Le lien affiché ≠ le lien réel

Survolez le lien (sans cliquer) pour afficher l'URL réelle en bas du navigateur ou de la messagerie. Si elle diffère du texte affiché, n'y allez pas.

05 — PIÈCES JOINTES

Documents inattendus

Une facture, un CV, un bon de commande envoyé par un expéditeur inhabituel ? Ne l'ouvrez pas. Les formats .zip, .exe, .scr, .htm ou documents Office demandant d'« activer les macros » sont particulièrement à risque.

06 — DEMANDE ATYPIQUE

Une demande hors procédure

Un virement exceptionnel, un changement de RIB, une demande de codes par la direction… Toute sollicitation qui sort du cadre habituel doit être vérifiée par un autre canal (téléphone, en personne).

Reconnaître un site web frauduleux

A — URL

Analysez l'adresse

L'URL est le meilleur indicateur. Vérifiez le domaine principal (juste avant le .fr, .com…), pas les sous-domaines qui peuvent imiter n'importe quelle marque.

B — HTTPS

Le cadenas ne suffit pas

Le cadenas HTTPS signifie que la connexion est chiffrée, pas que le site est légitime. Les sites de phishing ont aujourd'hui presque tous un certificat.

C — DESIGN

Incohérences visuelles

Logo pixélisé, mise en page légèrement décalée, polices différentes, liens qui ne fonctionnent pas… Un site fait à la hâte trahit souvent l'imitation.

D — LOGIN INATTENDU

On vous redemande vos identifiants ?

Si vous êtes déjà connecté(e) à un service (Microsoft 365, extranet…) et qu'une nouvelle page vous redemande vos identifiants sans raison claire, c'est très suspect.

Exemples concrets à comparer :

✓ Légitime https://www.elo-energie.com/
✗ Frauduleux https://www.elo-energie.fr
✗ Frauduleux http://elo-energie.com
✗ Frauduleux https://eloenergie.com

Les bons réflexes au quotidien

En cas de doute : STOP. On ne clique pas.

  1. Ne cliquez pas sur un lien et n'ouvrez pas de pièce jointe dont vous n'êtes pas certain(e).
  2. Vérifiez par un autre canal (appel téléphonique direct, échange en personne) toute demande inhabituelle, même venant d'un collègue ou d'un responsable.
  3. Ne saisissez jamais vos identifiants sur une page atteinte depuis un lien reçu par e-mail : allez plutôt sur le site directement via votre navigateur ou vos favoris.
  4. Signalez tout e-mail suspect au Service Informatique, même si vous n'avez pas cliqué. Mieux vaut une fausse alerte plutôt qu'un incident avéré.
  5. Si vous avez cliqué ou saisi vos identifiants : prévenez immédiatement le Service Informatique et changez votre mot de passe Microsoft 365.
  6. Utilisez un mot de passe différent pour chaque service, et activez l'authentification multi-facteurs (MFA) partout où c'est possible.

Un doute ? Un e-mail suspect à signaler ?

Contactez le Service Informatique d'ELO ENERGIE — nous préférons 10 signalements pour rien plutôt qu'un incident réel.

Contacter le Service IT

Campagne de sensibilisation organisée par le Service Informatique d'ELO ENERGIE — dans une démarche de prévention et de formation continue à la cybersécurité.