Sécuriser son entreprise contre le phishing : guide pratique 2026

Ce que vous saurez faire à la fin

1. Reconnaître les 7 indicateurs concrets d’un email, SMS ou appel de phishing en moins de 30 secondes
2. Configurer SPF, DKIM et DMARC sur votre domaine pour bloquer 95% des emails frauduleux usurpant votre marque
3. Lancer une campagne de simulation de phishing avec GoPhish sur vos collaborateurs et mesurer le taux de clic réel
4. Mettre en place un programme de formation continue avec un module mensuel de 15 minutes
5. Suivre les bons KPI sécurité (taux de clic, taux de signalement, délai de signalement) et les améliorer trimestre après trimestre

Durée : 4h. Pré-requis : domaine email professionnel (ex : votreboite.sn), accès admin DNS chez votre registrar (OVH, Cloudflare, Gandi), compte Microsoft 365 ou Google Workspace, un serveur Linux (VPS Hetzner 5 EUR/mois ≈ 3 300 FCFA, ou Contabo 8 EUR/mois ≈ 5 300 FCFA), budget annuel 200 000 à 500 000 FCFA pour les outils, sponsor au sein de la direction pour valider les simulations.

Étape 1 — Cartographier vos vecteurs d’attaque

Avant de déployer des outils, listez les portes d’entrée. Une PME sénégalaise typique a 4 vecteurs principaux : email professionnel (Microsoft 365 ou Google Workspace), SMS sur téléphones pro/perso (BYOD), appels téléphoniques entrants (vishing) et messageries instantanées (WhatsApp Business, LinkedIn). Pour chaque vecteur, identifiez les données à risque :

Étape 2 — Reconnaître les 7 signaux d’un phishing

Apprenez à vos équipes ces 7 indicateurs visibles en 30 secondes maximum :

1. Expéditeur incohérent : « Microsoft Support » mais l’adresse est ms-support@ms-secure-helpdesk.ru
2. Urgence émotionnelle : « Votre compte sera fermé dans 24h », « Action immédiate requise »
3. Faute orthographique discrète : « Veuillez confimer » au lieu de « confirmer », « actvité » au lieu de « activité »
4. Lien masqué : texte affiché « https://orange-sn.com/login » mais l’URL réelle pointe vers orange-sn.tk
5. Pièce jointe inattendue : facture.pdf.exe, contrat.zip avec macros activées
6. Demande inhabituelle : changement RIB, virement express, partage MFA
7. Appel à contourner les procédures : « Ne passez pas par le service achats, traitez en direct »

Au moins 2 signaux présents = signaler immédiatement. Un seul signal = vérifier par un autre canal (téléphone direct, pas le numéro fourni dans l’email).

Étape 3 — Configurer SPF sur votre domaine

SPF (Sender Policy Framework) déclare quels serveurs ont le droit d’envoyer des emails au nom de votre domaine. Connectez-vous à votre interface DNS (OVH, Cloudflare ou Gandi) et créez un enregistrement TXT à la racine :

Type     : TXT
Nom      : @ (ou votreboite.sn selon registrar)
Valeur   : v=spf1 include:_spf.google.com include:spf.protection.outlook.com -all
TTL      : 3600

Adaptez selon votre service email :

La directive finale -all rejette tout serveur non listé. Évitez ~all (softfail) qui n’est plus suffisant en 2026.

Étape 4 — Activer DKIM sur Google Workspace ou Microsoft 365

DKIM signe cryptographiquement vos emails. Pour Google Workspace :

Admin Console > Apps > Google Workspace > Gmail
> Authenticate email
> Generate new record (clé 2048 bits recommandé)
> Copier la clé publique fournie

Créez ensuite l’enregistrement DNS :

Type   : TXT
Nom    : google._domainkey
Valeur : v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB...
TTL    : 3600

Retournez dans la console Google et cliquez « Start authentication ». La propagation prend 24 à 48h. Pour Microsoft 365, allez dans Microsoft Defender > Email & collaboration > Policies > Email authentication settings > DKIM, sélectionnez votre domaine puis « Enable ».

Étape 5 — Déployer DMARC progressivement

DMARC indique aux serveurs destinataires quoi faire si SPF ou DKIM échoue. Déployez en 3 phases sur 8 semaines :

# Phase 1 (semaines 1-2) : monitoring uniquement
v=DMARC1; p=none; rua=mailto:dmarc@votreboite.sn; pct=100

# Phase 2 (semaines 3-6) : quarantaine partielle
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@votreboite.sn

# Phase 3 (semaines 7+) : reject complet
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@votreboite.sn; ruf=mailto:dmarc@votreboite.sn

Créez l’enregistrement TXT au nom _dmarc. Les rapports rua arrivent en XML, illisibles bruts. Utilisez Postmark DMARC Digests (gratuit), DMARC Analyzer ou Valimail Monitor pour les visualiser. Vous verrez quels serveurs envoient en votre nom (légitimes ou frauduleux) et pourrez ajuster SPF avant de passer en reject.

Étape 6 — Vérifier votre configuration

Avant et après chaque modification, testez avec ces commandes Linux :

# Vérifier SPF
dig TXT votreboite.sn +short | grep spf

# Vérifier DKIM Google
dig TXT google._domainkey.votreboite.sn +short

# Vérifier DMARC
dig TXT _dmarc.votreboite.sn +short

# Test complet en ligne
# Envoyer un email vide à check-auth@verifier.port25.com
# Réponse automatique avec score complet

Outils web complémentaires : mxtoolbox.com/dmarc.aspx pour audit visuel, et dmarcian.com/dmarc-inspector pour interpréter les rapports.

Étape 7 — Installer GoPhish pour les simulations

GoPhish est l’outil open source de référence pour simuler le phishing en interne. Installation sur un VPS Ubuntu 22.04 (Hetzner CX22 à 4 EUR/mois suffit) :

# Connexion SSH au serveur
ssh root@vps.votreboite.sn

# Téléchargement de la dernière version
cd /opt
wget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip
unzip gophish-v0.12.1-linux-64bit.zip -d gophish
cd gophish
chmod +x gophish

# Configuration HTTPS pour l'admin
nano config.json
# Modifier "listen_url" : "0.0.0.0:3333"
# Modifier "use_tls" : true et générer cert Let's Encrypt

# Lancement en service systemd
nano /etc/systemd/system/gophish.service

Contenu du service systemd :

[Unit]
Description=GoPhish Phishing Simulation
After=network.target

[Service]
Type=simple
WorkingDirectory=/opt/gophish
ExecStart=/opt/gophish/gophish
Restart=on-failure

[Install]
WantedBy=multi-user.target

systemctl enable gophish
systemctl start gophish
# Admin disponible sur https://vps.votreboite.sn:3333
# Login par défaut : admin / mot de passe affiché dans les logs

Étape 8 — Créer votre première campagne de simulation

Dans GoPhish, suivez cette séquence :

1. Sending Profile : configurez SMTP via SendGrid ou un compte dédié (utilisez un domaine « look-alike » comme votreb0ite.sn)
2. Email Template : importez un template réaliste (faux email Orange Money, faux DGID, faux fournisseur)
3. Landing Page : créez une page qui capture le clic et redirige vers une page éducative
4. User Group : importez un CSV avec 10 employés volontaires pour la première vague (sans en informer la cible)
5. Campaign : lancez et suivez les ouvertures, clics, soumissions de credentials

Exemple de template Orange Money phishing utilisé en simulation :

Sujet : Confirmation transaction Orange Money - Action requise

Bonjour,

Une transaction de 250 000 FCFA a été initiée depuis
votre compte Orange Money n°778***456 vers le bénéficiaire
SARL DAKAR TRADING.

Si vous ne reconnaissez pas cette opération, cliquez ici
pour annuler immédiatement : {{.URL}}

Délai d'annulation : 30 minutes.

Service Sécurité Orange Money

Étape 9 — Mesurer et communiquer les résultats

Après 48h de campagne, analysez ces métriques :

Important : le taux de signalement est plus important que le taux de clic. Une équipe qui clique mais signale immédiatement permet une réponse rapide. Ne nommez jamais publiquement les personnes ayant cliqué, c’est contre-productif. Communiquez un score collectif par équipe.

Étape 10 — Activer le bouton « Signaler le phishing »

Dans Microsoft 365, déployez l’add-in Report Message :

Microsoft 365 Admin Center
> Settings > Integrated apps
> Get apps > chercher "Report Message"
> Deploy > Assigned users : Everyone
> Acceptez les permissions

Pour Google Workspace, installez le module « Phishing report » depuis Workspace Marketplace ou utilisez la commande native (icône drapeau sur chaque email). Configurez ensuite la boîte mail dédiée signalement-phishing@votreboite.sn avec règle de routage automatique vers votre RSSI ou prestataire.

Étape 11 — Construire un programme de formation continue

La sensibilisation ponctuelle ne fonctionne pas. Construisez un programme sur 12 mois avec un module mensuel de 15 minutes :

Outils gratuits : Cyber Aces (SANS), modules ANSSI MOOC, et la plateforme française « Cybermalveillance.gouv.fr » qui propose du contenu en français adapté.

Étape 12 — Établir un protocole de signalement et de réponse

Documentez et affichez ce protocole sur l’intranet :

1. SI VOUS DOUTEZ d'un email/SMS/appel :
   → NE PAS cliquer
   → NE PAS répondre
   → NE PAS supprimer

2. SIGNALER en moins de 5 minutes :
   → Bouton "Signaler le phishing" dans Outlook/Gmail
   → OU email vers signalement-phishing@votreboite.sn
   → OU appel à l'IT au +221 XX XXX XX XX

3. SI VOUS AVEZ CLIQUÉ :
   → Déconnecter l'ordinateur du réseau (débrancher câble/wifi)
   → Appeler immédiatement l'IT
   → Changer mot de passe Microsoft 365 depuis un autre poste
   → Surveiller comptes bancaires 48h

4. RESPONSABLE IT :
   → Rechercher l'email dans toutes les boîtes
   → Quarantaine via Defender / Vault Google
   → Bloquer le domaine émetteur
   → Communiquer un avertissement à toute l'équipe

Étape 13 — Auditer et améliorer trimestriellement

Tous les 3 mois, faites un point :

• Analyser les rapports DMARC : nouvelles tentatives d’usurpation ?
• Lancer une nouvelle campagne GoPhish avec scénario différent
• Comparer les KPI au trimestre précédent (cible : -20% taux de clic, +20% taux de signalement)
• Identifier les équipes les plus exposées (commerce, comptabilité, direction) et renforcer leur formation
• Vérifier que SPF, DKIM, DMARC sont toujours valides après tout changement IT
• Renouveler la sensibilisation lors de l’arrivée de chaque nouveau collaborateur (J+1)

Erreurs classiques à éviter

• Passer DMARC en p=reject sans phase monitoring : blocage massif d’emails légitimes (newsletters, factures fournisseurs, partenaires) pendant 2 semaines, perte d’opportunités commerciales
• Nommer publiquement les « victimes » de la simulation : humiliation, refus de signaler les vrais incidents par peur, climat de méfiance
• Ne pas prévenir le RH et la direction des simulations : plainte au CSE pour méthode déloyale, voire risque prud’homal
• Utiliser le même template GoPhish 6 mois de suite : les équipes le mémorisent, KPI artificiellement bons, vrai niveau de protection inchangé
• Configurer DKIM avec une clé 1024 bits : jugée faible, certains MX la rejettent en 2026, utilisez 2048 bits
• Oublier d’inclure tous les services tiers dans SPF : Mailjet, SendGrid, HubSpot envoient pour vous, leurs emails partent en spam si non listés
• Stocker la base de données GoPhish sans chiffrement : contient les credentials saisis lors des simulations, fuite catastrophique

Checklist anti-phishing entreprise

✓ SPF configuré avec -all (hard fail)
✓ DKIM activé clé 2048 bits sur Microsoft 365 ou Google Workspace
✓ DMARC déployé en 3 phases : none → quarantine → reject
✓ Rapports DMARC routés vers une boîte dédiée et analysés
✓ Bouton "Signaler le phishing" déployé sur tous les postes
✓ Boîte signalement-phishing@votreboite.sn créée et surveillée
✓ Procédure de signalement affichée sur l'intranet
✓ Procédure changement RIB : double validation par téléphone
✓ Formation initiale obligatoire à l'embauche (J+1)
✓ Module mensuel de sensibilisation 15 min programmé
✓ GoPhish déployé sur VPS sécurisé et HTTPS
✓ Première campagne de simulation lancée avec accord direction
✓ KPI suivis : taux de clic, taux de signalement, délai
✓ Audit DNS et configuration tous les 3 mois
✓ Ré-évaluation des outils et abonnements à chaque renouvellement