Ce que cela signifie
Vous venez de participer à une campagne interne de sensibilisation. Le scénario reproduit une situation réaliste (RH, planning, outils internes, démarches administratives, signature électronique, etc.).
But : apprendre à repérer les signaux d’alerte avant de cliquer ou de s’authentifier.
Vous venez de participer à une campagne interne de sensibilisation. Le scénario reproduit une situation réaliste (RH, planning, outils internes, démarches administratives, signature électronique, etc.).
But : apprendre à repérer les signaux d’alerte avant de cliquer ou de s’authentifier.
Important
Cette campagne n’a pas vocation à sanctionner. Elle vise à améliorer la vigilance collective et à réduire les risques d’accès non autorisé et de fuite d’informations.
Cette campagne n’a pas vocation à sanctionner. Elle vise à améliorer la vigilance collective et à réduire les risques d’accès non autorisé et de fuite d’informations.
Pourquoi ce type de message fonctionne
Les attaques par phishing imitent des communications “normales” du quotidien : document attendu, planning mis à jour, action RH, procédure interne.
Cela déclenche un réflexe : “je dois vérifier → je me connecte”.
Signaux d’alerte à vérifier systématiquement
1) Expéditeur
Le nom affiché peut être correct, mais l’adresse réelle (domaine) peut être trompeuse. Vérifiez toujours l’adresse complète.
Le nom affiché peut être correct, mais l’adresse réelle (domaine) peut être trompeuse. Vérifiez toujours l’adresse complète.
2) Lien / URL
Le texte peut indiquer “Portail / SSO”, mais l’URL réelle peut être différente. En cas de doute, passez par l’intranet.
Le texte peut indiquer “Portail / SSO”, mais l’URL réelle peut être différente. En cas de doute, passez par l’intranet.
3) Ton et pression
Urgence excessive, “dernier rappel”, délais très courts : techniques fréquentes pour pousser à agir sans vérifier.
Urgence excessive, “dernier rappel”, délais très courts : techniques fréquentes pour pousser à agir sans vérifier.
4) Action demandée
Connexion, signature, téléchargement, validation… ce sont des actions sensibles. Redoublez de prudence avant de saisir des identifiants.
Connexion, signature, téléchargement, validation… ce sont des actions sensibles. Redoublez de prudence avant de saisir des identifiants.
Rappel sécurité
Aucun service interne (RH, informatique, administratif) ne vous demandera vos identifiants ou mots de passe par email. L’accès aux outils doit se faire via les chemins officiels (intranet / favoris habituels).
Aucun service interne (RH, informatique, administratif) ne vous demandera vos identifiants ou mots de passe par email. L’accès aux outils doit se faire via les chemins officiels (intranet / favoris habituels).
Les bons réflexes à adopter
Avant toute authentification
- Ne saisissez jamais vos identifiants depuis un lien reçu par email.
- Ouvrez l’intranet et accédez à l’outil via le chemin habituel (ex : Intranet → RH / SI → Portail).
- Vérifiez l’URL (domaine exact) avant de continuer.
En cas de doute
- Contactez le support / RH via les canaux internes (portail de tickets, téléphone interne, etc.).
- Utilisez le mécanisme de signalement s’il existe dans votre organisation.
FAQ
Pourquoi ai-je été redirigé vers cette page ?
Vous avez interagi avec un message simulé (clic, tentative de connexion, etc.). Le but est de vous montrer, immédiatement après l’action, les éléments à vérifier et les bons réflexes à adopter.
Est-ce que mes identifiants ont été enregistrés ?
Dans le cadre d’une campagne de sensibilisation, l’objectif est d’évaluer la vigilance (clic / interaction). Les campagnes sérieuses évitent de collecter des informations sensibles. En cas de doute réel, passez par l’intranet et contactez le support via les canaux officiels.
Que dois-je faire si j’ai déjà saisi des informations ?
Par précaution, changez votre mot de passe via le chemin officiel (intranet / portail habituel) et contactez le support si vous suspectez une anomalie. Ne réutilisez jamais un mot de passe sur plusieurs services.
Quels sont les cas les plus fréquents de phishing en collectivité ?
Bulletins de paie, planning, formulaires agents, demandes RH, “signature électronique”, interventions techniques, factures, convocations ou messages urgents. Les attaquants misent sur les habitudes et la pression temporelle.
Quel est le meilleur réflexe pour accéder à un outil interne ?
Toujours passer par l’intranet ou vos favoris habituels, puis naviguer vers l’outil (RH, CIRIL, SSO, planning). Évitez de vous authentifier via un lien reçu par email.
Pour aller plus loin
Des modules de formation sont disponibles sur TNO afin d’approfondir ces sujets : phishing, usurpation d’identité, mots de passe, bonnes pratiques, et réflexes de signalement.
Si le bouton ne s’ouvre pas, copiez/collez le lien dans votre navigateur.