Cybersécurité

Phishing par WhatsApp : comment former vos employés

12 min de lecture

Lecture : 9 minutes · Niveau : tous publics · Mise à jour : avril 2026

WhatsApp est l’outil de travail quotidien d’une grande partie des PME ouest-africaines. C’est aussi devenu un canal de fraude majeur ciblant les entreprises. Cet article propose une méthode complète, applicable sans budget, pour transformer vos employés en première ligne de défense.

Sommaire

  1. Pourquoi WhatsApp est devenu un canal de phishing privilégié
  2. 3 scénarios types qui coûtent cher aux PME
  3. Les 6 signaux d’alerte à reconnaître en 5 secondes
  4. La méthode RAPIDE : 6 réflexes à enseigner
  5. Programme de formation interne en 30 jours
  6. Test de phishing simulé : la procédure pas à pas
  7. Checklist de sensibilisation à imprimer
  8. FAQ

1. Pourquoi WhatsApp est devenu un canal de phishing privilégié

Trois raisons structurelles font de WhatsApp un terrain de jeu attractif pour les escrocs :

1. Tout le monde y est, tout le temps. WhatsApp est largement utilisé pour communiquer avec un employeur, un fournisseur ou un client. Un message professionnel sur WhatsApp paraît parfaitement normal — l’attaquant n’a aucune barrière à franchir.

2. La présomption de confiance est forte. Quand vous recevez un email d’un inconnu, votre garde monte automatiquement. Sur WhatsApp, l’expéditeur affiche souvent une photo de profil familière, et le ton conversationnel désarme la vigilance.

3. La traçabilité est faible. Une fois le message lu et l’argent envoyé, il est extrêmement difficile de remonter à l’auteur. Les comptes WhatsApp sont créés rapidement avec une SIM peu identifiée.

🎯 Conséquence directe : une part significative des arnaques au virement (« BEC ») ciblant les PME transite désormais par WhatsApp, en complément ou en remplacement de l’email.

2. 3 scénarios types qui coûtent cher aux PME

Scénarios pédagogiques inspirés de schémas d’attaques largement documentés. À adapter à votre contexte pour vos formations internes.

Scénario A — L’usurpation de directeur

Un mardi matin, la comptable reçoit un message WhatsApp d’un numéro inconnu, avec la photo de profil du directeur (récupérée sur LinkedIn ou les réseaux sociaux) :

« Bonjour [Prénom], c’est moi. J’ai changé de téléphone hier. Tu peux me valider rapidement le virement de [montant] FCFA pour le fournisseur [Nom] ? Le RIB est en pièce jointe. C’est urgent, je suis en réunion. »

La comptable, sous pression, valide. Le « RIB » dirige vers un compte mobile money personnel.

La faille : aucune procédure écrite n’imposait une validation téléphonique sur le numéro déjà connu du directeur.

Scénario B — Le faux fournisseur historique

Le compte WhatsApp d’un fournisseur régulier est compromis (mot de passe faible, pas de 2FA). Pendant plusieurs semaines, l’attaquant lit les conversations, apprend les habitudes, puis envoie un message d’apparence légitime :

« Salam, on doit changer de banque cette semaine. Je t’envoie le nouveau RIB pour les prochaines factures. Merci. »

L’entreprise paye ses factures suivantes sur le compte de l’attaquant — parfois pendant plusieurs cycles — avant que le vrai fournisseur, qui n’a rien reçu, ne sonne l’alerte.

La faille : aucun rappel téléphonique n’a été passé pour valider le changement de RIB.

Scénario C — L’usurpation de marque (« Wave Support »)

Un employé reçoit un message WhatsApp d’un numéro affichant un nom de contact défini par l’attaquant, par exemple « Wave Support Officiel » :

« Bonjour, nous avons détecté une activité suspecte sur votre compte. Cliquez sur ce lien pour vérifier votre identité avant blocage : https://wave-verif.example/auth »

L’employé clique, entre ses identifiants, code SMS reçu et transmis à la fausse page. L’attaquant prend la main sur le compte.

La faille : pas de formation préalable sur les liens suspects et l’usurpation d’identité de marque. Aucun service financier ou opérateur télécom légitime ne demande votre code OTP par message.

3. Les 6 signaux d’alerte à reconnaître en 5 secondes

Quand l’un de ces signaux apparaît, arrêtez tout et appelez votre interlocuteur supposé sur son numéro habituel.

Signal Description Niveau d’alerte
🚩 Numéro inconnu prétendant être quelqu’un de connu « C’est moi, j’ai changé de téléphone » 🔴 Critique
🚩 Demande financière urgente Tout virement « urgent » avec pression temporelle 🔴 Critique
🚩 Changement de RIB ou de coordonnées bancaires Surtout si annoncé par message uniquement 🔴 Critique
🚩 Lien à cliquer pour « vérifier » ou « confirmer » Banques, opérateurs ne procèdent jamais ainsi 🟠 Élevé
🚩 Demande de code SMS ou d’OTP Aucune entreprise légitime ne demande votre code 🔴 Critique
🚩 Tentative de prise de contrôle de votre WhatsApp « Envoie-moi le code à 6 chiffres reçu par erreur » 🔴 Critique

⚠️ Le code WhatsApp à 6 chiffres ne se partage JAMAIS. Si quelqu’un vous demande de lui transférer un code reçu sur votre WhatsApp, c’est qu’il essaie de prendre le contrôle de votre compte.

4. La méthode RAPIDE : 6 réflexes à enseigner

Mémorisable en 30 secondes, à coller en fond d’écran professionnel ou à imprimer dans tous les bureaux.

R — Ralentir

Aucune demande financière légitime n’est urgente au point de ne pas pouvoir attendre 5 minutes pour vérifier. La pression temporelle EST le signal d’alerte.

A — Appeler

Sur le numéro de téléphone déjà enregistré dans vos contacts. Jamais sur un numéro fourni dans le message suspect. Si la personne ne décroche pas, vous attendez. Vous ne validez rien.

P — Poser une question personnelle

Si quelqu’un prétend être votre directeur, posez-lui une question dont seul lui connaît la réponse (un détail récent de la vie de l’entreprise, une réunion, un nom). Un attaquant échouera.

I — Inspecter le numéro et les détails

Le numéro a-t-il un préfixe étranger inattendu ? Le profil WhatsApp a-t-il été créé récemment (photo de profil très récente, pas de statut, pas d’historique) ? Le message contient-il des fautes inhabituelles ?

D — Demander une confirmation écrite formelle

Sur un canal officiel : email professionnel, ou message dans le groupe WhatsApp d’équipe officiel. Si l’attaquant n’a pas pénétré ces canaux, sa supercherie tombe immédiatement.

E — Escalader sans honte

En cas de doute, transférez le message au responsable IT ou au dirigeant. Aucune sanction ne doit jamais être appliquée à un employé qui a remonté un message douteux, même si finalement c’était légitime. La culture d’escalade est le meilleur rempart.

5. Programme de formation interne en 30 jours

Méthode applicable même pour une équipe de 5 personnes, sans budget formation, par le dirigeant lui-même.

Semaine 1 — Sensibilisation théorique

  • Lundi : envoyer à toute l’équipe un email avec ce guide en pièce jointe ou en lien.
  • Mercredi : réunion d’équipe de 30 minutes — présentez les 3 scénarios types (section 2), faites réagir l’équipe : « qu’est-ce qui vous aurait fait douter ? »
  • Vendredi : afficher la méthode RAPIDE (section 4) en grand format dans les bureaux et la salle de pause.

Semaine 2 — Procédures écrites

  • Rédiger une charte de validation des virements : seuil au-delà duquel double validation téléphonique obligatoire (à définir selon la taille et l’activité de votre entreprise).
  • Faire signer la charte par tous les employés concernés (commercial, comptabilité, direction).
  • Mettre à jour la signature email professionnelle avec un avertissement : « Aucune demande de virement par WhatsApp. Toute modification de RIB sera systématiquement confirmée par téléphone. »

Semaine 3 — Premier test de phishing simulé

(Voir procédure détaillée section suivante.)

  • Mardi 10h : envoyer le faux message à toute l’équipe.
  • Mardi 18h : compter les réactions (qui a cliqué, qui a appelé, qui a ignoré).
  • Mercredi : débrief en équipe sans humilier personne. Le but est l’apprentissage, pas la punition.

Semaine 4 — Ancrage et rituel

  • Désigner un référent cybersécurité dans l’équipe (pas forcément le plus technique — souvent le plus rigoureux).
  • Mettre à l’agenda mensuel un point « 5 minutes cybersécurité » en réunion d’équipe.
  • Souscrire à un canal d’actualités : la page officielle de la CDP Sénégal, des comptes spécialisés cybersécurité Afrique, ou notre rubrique Cybersécurité.

6. Test de phishing simulé : la procédure pas à pas

Pas besoin d’outil professionnel. Vous pouvez le faire vous-même.

Préparation (15 minutes)

  1. Achetez ou empruntez une SIM secondaire que vos employés ne connaissent pas.
  2. Créez un compte WhatsApp sur cette SIM, avec une photo de profil neutre (logo générique, pas votre vrai logo).
  3. Préparez un message plausible mais avec un signal d’alerte évident (urgence + demande de virement, par exemple).

Exécution

Envoyez le message à 5-10 employés en simultané, à un horaire de forte activité (typiquement matin ou retour de pause déjeuner). Variez légèrement le message d’un employé à l’autre pour qu’ils ne se prêtent pas immédiatement la combine.

Exemple de message à envoyer :

« Bonjour [Prénom], c’est [Directeur]. J’ai un problème avec mon téléphone, je suis sur cette ligne. J’ai besoin que tu me valides un virement urgent pour le fournisseur Cisse, on est sur le point de perdre la commande. Le RIB est : Wave 78 XX XX XX. Merci. »

Mesure et débrief

Comptez :
– Combien ont cliqué ou répondu en confirmant ?
– Combien ont appelé le directeur sur son vrai numéro ?
– Combien vous ont escaladé le message comme suspect ?
– Combien ont ignoré sans rien faire (à éduquer aussi : il faut signaler) ?

Débrief en équipe :
– Annoncer dès le début que c’est un test, pas une vraie attaque.
– Féliciter publiquement ceux qui ont eu le bon réflexe.
– Ne jamais nommer ceux qui ont été piégés. Donner uniquement le score global.
– Refaire un test 3 mois plus tard. Le score doit s’améliorer.

7. Checklist de sensibilisation à imprimer

À afficher dans tous les bureaux, salle de pause, et bureau du gestionnaire administratif et financier.

═══════════════════════════════════════════════════════════
   AVANT TOUT VIREMENT, TOUTE COMMUNICATION SENSIBLE :
                          R-A-P-I-D-E
═══════════════════════════════════════════════════════════

   R  Ralentir — aucune urgence ne justifie de sauter une étape
   A  Appeler — sur le numéro DÉJÀ enregistré, pas un nouveau
   P  Poser — une question personnelle pour authentifier
   I  Inspecter — numéro inconnu ? Profil récent ? Faute ?
   D  Demander — une confirmation écrite sur canal officiel
   E  Escalader — au moindre doute, sans peur de sanction

═══════════════════════════════════════════════════════════
   SEUIL DE VALIDATION OBLIGATOIRE PAR TÉLÉPHONE :
   ► Tout virement supérieur à _________ FCFA
═══════════════════════════════════════════════════════════

   EN CAS DE DOUTE, contactez :
   ► Référent cybersécurité interne : _________________
   ► Direction : _____________________________________

═══════════════════════════════════════════════════════════

8. FAQ

Comment savoir si mon compte WhatsApp a été piraté ?

Symptômes typiques : déconnexion soudaine de votre WhatsApp (l’attaquant l’a transféré sur son téléphone), messages que vous n’avez pas envoyés, contacts vous demandant pourquoi vous avez écrit telle ou telle chose. Solution immédiate : reconnectez-vous depuis votre téléphone (cela déconnecte les autres sessions), activez la vérification en deux étapes dans Paramètres → Compte.

Mes employés utilisent leur WhatsApp personnel pour le travail. Que faire ?

C’est une situation très courante. Acceptez-la, mais cadrez-la : interdire formellement de transmettre des informations sensibles (mots de passe, codes OTP, RIB) par WhatsApp ; activer la vérification en deux étapes WhatsApp sur tous les comptes ; mettre en place une charte écrite signée.

Les groupes WhatsApp d’entreprise sont-ils sûrs ?

Plus sûrs que les conversations individuelles, à condition de vérifier régulièrement la liste des membres (un attaquant ajouté peut écouter tout). Désignez un seul administrateur du groupe et activez « Seuls les admins peuvent ajouter des membres ».

Que faire si un employé a été victime ?

D’abord, ne pas le blâmer publiquement — c’est contre-productif. Ensuite : isoler immédiatement les comptes potentiellement compromis (changement de mots de passe, déconnexion de toutes les sessions actives), faire le point sur ce qui a été divulgué, notifier la banque ou l’opérateur mobile money si pertinent, et déclarer l’incident à la CDP si des données personnelles sont concernées.

Existe-t-il des outils pour automatiser les tests de phishing ?

Oui, par exemple GoPhish (open source, auto-hébergeable, gratuit), Lucy Security, Knowbe4 ou PhishingBox côté commerciaux. Pour une PME qui démarre, un test « manuel » comme décrit ci-dessus suffit largement et coûte zéro franc.

Articles liés (cluster Cybersécurité PME)

Article mis à jour le 25 avril 2026. Pour signaler une erreur, partager un cas vécu (anonymisé) ou suggérer une amélioration, écrivez-nous.

#formation #phishing #PME #sénégal #sensibilisation #whatsapp
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires