Accueil > Expertise Cyber > Compte email piraté : que faire en cas de phishing ?

INCIDENT CRITIQUE

Hameçonnage (Phishing) - Compte Compromis

Que faire en cas de piratage d'un compte email dans votre PME ?

Lorsqu'une entreprise fait face à un piratage de compte, notamment via une attaque de phishing, chaque minute compte.

Il ne suffit pas de réinitialiser un mot de passe pour régler le problème : il faut agir de façon structurée, rapide et documentée.

Actions immédiates (<5 minutes)

Déconnexion immédiate

Déconnectez-vous immédiatement de tous vos comptes sur tous les appareils

Changement des mots de passe

Modifiez immédiatement le mot de passe du compte compromis depuis un appareil sécurisé

Notification à l'équipe

Informez votre service informatique et vos collègues concernés

Actions de suivi

Vérification de l'activité

Consultez l'historique de connexions et d'activités suspectes

Activation de la double authentification

Activez la 2FA si ce n'était pas déjà fait

Documentation de l'incident

Conservez tous les éléments de preuve (emails, captures d'écran)

Procédure détaillée de remédiation

1. Identifier et bloquer l'intrusion

Objectif : Fermer la porte au pirate

• Analyser les connexions suspectes : identifiez les IP inhabituelles, les agents utilisateurs et les pays d'origine
• Changer le mot de passe du compte compromis et invalider toutes les sessions ouvertes
• Supprimer les règles de transfert automatique ou de redirection créées par l'attaquant
• Activer l'authentification multi-facteurs (MFA) pour renforcer la sécurité

2. Communiquer avec transparence

Objectif : Limiter les dégâts collatéraux

• Informer les destinataires susceptibles d'avoir reçu un email frauduleux
• Prévenir un effet boule de neige avec d'autres comptes compromis
• Alerter les partenaires et clients si nécessaire

3. Auditer votre environnement Microsoft 365 / Google Workspace

Objectif : Comprendre l'ampleur de l'attaque

• Analyser les logs d'audit pour tracer l'activité de l'utilisateur compromis
• Vérifier les connexions, modifications de règles, actions sur les emails
• Contrôler la réputation de votre domaine via DMARC, SPF et DKIM
• S'assurer que votre domaine n'est pas utilisé pour envoyer du spam

4. Conserver les preuves : enjeu juridique et assuranciel majeur

Objectif : Protéger votre entreprise

• Exporter les logs d'audit (connexions, modifications, suppressions)
• Sauvegarder les emails frauduleux au format .eml ou .msg
• Capturer les règles suspectes de messagerie avant suppression
• Tenir un journal horodaté de toutes les actions entreprises

Importance Cruciale de la Conservation des Preuves

La conservation des preuves est un aspect souvent négligé mais crucial en cas de cyberattaque.

Elle permet de :

✓ Se conformer à la réglementation (notamment RGPD)
✓ Démontrer votre bonne foi et vos actions en cas d'enquête
✓ Appuyer une déclaration à votre assureur cyber pour prise en charge

En cas d'incident, chaque détail compte. Ne sous-estimez pas l'importance de la traçabilité : elle est votre meilleure alliée pour prouver votre réactivité, vous protéger légalement et assurer une continuité d'activité sereine.

Important à Retenir

• Ne jamais saisir vos identifiants sur un lien reçu par email
• Vérifiez toujours l'URL avant de vous connecter
• Les organismes officiels ne demandent jamais vos mots de passe par email
• En cas de doute, contactez directement l'organisme concerné

Besoin d'aide immédiate ?

Notre équipe d'experts est disponible pour vous accompagner dans la résolution de cet incident.