Cabinet / Ressources / Phishing PME Suisse romande
Dossier 05 · Phishing

Phishing en Suisse romande : reconnaître, défendre, simuler.

Le phishing en français impeccable, ciblé sur une PME vaudoise spécifique, signé avec le bon nom de comptable et la bonne fiduciaire — c'est le quotidien depuis 2024. L'image du « message Nigérian avec dix fautes » est morte. Bienvenue dans le phishing industriel à l'ère de l'IA générative.

Gabriel Rossi 23 mai 2026 13 min de lecture Vaud · Romandie

Quatre vendredis de suite, en mars 2025, j'ai reçu le même appel : « notre comptable a fait un virement de CHF 23'000 à un faux fournisseur. L'email venait du directeur. Il était impossible de voir que c'était un faux ». Quatre PME différentes, dans le canton de Vaud. Quatre fois la même méthode. Et chaque fois, la même phrase de la part du dirigeant : « je pensais que mes équipes savaient repérer ça ». La sensibilisation au phishing n'est plus une option de confort RH — c'est devenu le verrou business le plus rentable d'une PME romande.

01 — RéalitéLe phishing en 2026, vraiment.

Le phishing n'est plus le grand classique caricatural qu'on apprend à éviter dans les formations de 2015. Trois bascules ont rendu l'attaque presque indétectable :

  1. L'IA générative a éliminé les fautes d'orthographe et la syntaxe maladroite. Les emails sont aujourd'hui rédigés en français de qualité, avec les codes propres au registre comptable, juridique ou bancaire suisse.
  2. Le ciblage personnel est devenu trivial grâce à LinkedIn, aux registres du commerce ouverts et aux fuites de données. L'attaquant connaît votre fiduciaire, votre banque, le prénom de votre comptable et la date du dernier virement effectué.
  3. L'industrialisation par des kits clés-en-main (phishing-as-a-service) permet à n'importe quel opérateur de monter une campagne ciblée sur une PME pour quelques centaines de dollars.
82 % des intrusions exploitent une erreur humaine — au premier rang, le phishing Verizon DBIR 2024
60 % des ransomwares en Suisse débutent par un email de phishing OFCS · 2024
CHF 23'000 montant médian d'une fraude BEC subie par une PME vaudoise Police cantonale VD

02 — TypologieLes six visages du phishing.

On range trop vite « tout ce qui ressemble à un mauvais email » sous le mot phishing. Pour une PME, distinguer les six variantes est utile : elles ne se défendent pas de la même façon, et leur ROI pour l'attaquant n'est pas le même.

Variante Mécanique Cible PME typique
Phishing de masse Email générique envoyé à des milliers d'adresses Tous les employés — souvent la première brèche
Spear phishing Email ciblé sur une personne, avec son contexte Direction, comptabilité, RH, IT
BEC (Business Email Compromise) Usurpation d'identité d'un dirigeant pour ordonner un virement Comptabilité, trésorier, assistant de direction
Vishing (voice) Appel téléphonique — faux IT, faux fournisseur Réception, IT support, comptabilité
Smishing (SMS) SMS frauduleux (livraison, banque, La Poste) Tout collaborateur — sur son téléphone pro ou perso
Quishing (QR code) QR code dans un email ou en affiche menant à un faux site En forte hausse depuis 2024

Pour une PME vaudoise, les deux variantes les plus coûteuses sont le BEC (fraude au virement, perte directe) et le spear phishing sur les comptes administrateurs (porte d'entrée vers un ransomware ou une fuite de données). Ces deux variantes représentent à elles seules 70 % des incidents que nous documentons depuis 2023.

03 — TerrainCe qu'on voit en Romandie.

Les campagnes que nous observons dans le bassin lémanique en 2025 partagent quelques signatures locales — utiles à connaître, car ce sont les leurres qui passent le mieux :

01 — La fausse facture en CHF

Email qui se présente comme une « facture en souffrance » d'un fournisseur réel de la PME ciblée, avec un IBAN modifié pointant vers un compte mule en Europe de l'Est. Le montant est calibré sous CHF 25'000 — sous le seuil de double validation interne dans la plupart des PME.

02 — L'usurpation de fiduciaire

Particulièrement courante en Suisse romande. L'email semble venir de votre fiduciaire (nom correct, mise en page correcte), demande un fichier salarial « urgent » ou un accès au portail comptable. Les données récupérées servent à monter une attaque BEC une à deux semaines plus tard.

03 — Le faux Microsoft 365

Page de connexion Microsoft parfaitement clonée, sur un nom de domaine ressemblant (microsoft365-secure-ch.com, login-office-vaud.com). Une fois l'identifiant capturé, l'attaquant accède à l'email du collaborateur, lit l'historique des conversations, et lance des attaques internes avec une crédibilité maximale.

04 — La fausse banque (PostFinance, UBS, Raiffeisen, BCV)

SMS et emails imitant les banques romandes. Les versions visant la BCV et la Raiffeisen sont particulièrement raffinées en français suisse — ton bancaire correct, références à des produits réels.

05 — Le piège DocuSign / WeTransfer

Email signalant un document à signer ou un fichier à télécharger. Le lien mène à une fausse page de connexion Microsoft ou Google. C'est aujourd'hui le vecteur n° 1 d'intrusion dans Microsoft 365 que nous traitons en mission.

04 — DétectionLes sept signaux à reconnaître.

Pas de méthode magique, mais une grille mentale que vos collaborateurs peuvent appliquer en 5 secondes avant d'agir. Plus le message est urgent, plus la grille doit ralentir.

1
L'urgence inhabituelle

« Réponse avant 16h », « virement à effectuer aujourd'hui », « suspension de votre compte dans 24h ». L'urgence est le levier psychologique central. Un email vraiment urgent serait suivi d'un appel téléphonique — toujours.

2
L'adresse expéditeur « presque » juste

direct.eur@entreprise.com (au lieu de directeur@), votre-fiduciaire-ch.com (au lieu de votrefiduciaire.ch). Toujours vérifier le domaine complet, pas le nom affiché.

3
Une demande hors-cadre

Le directeur ne demande jamais un virement par email seul. Le service IT ne demande jamais un mot de passe. La banque ne demande jamais d'identifiant par SMS. Toute demande hors-cadre habituel doit être validée par un autre canal.

4
Un lien qui ne mène pas où il dit

Passer la souris sur le lien (sans cliquer) révèle la vraie destination. Si le bouton dit « Microsoft 365 » mais le lien pointe vers login-office-vaud-secure.com, c'est terminé.

5
Une pièce jointe inattendue

.zip, .iso, .htm, document Office demandant l'activation des macros : rouge vif. Même un .pdf peut transporter un payload. Si on ne l'attendait pas, on ne l'ouvre pas.

6
Une demande de confidentialité

« Ne dis rien à personne, c'est confidentiel ». Cette phrase, dans un email, est un drapeau rouge majeur. Le secret d'affaires se valide par téléphone, jamais par email seul.

7
Le timing étrange

Email envoyé un vendredi 17h30 demandant une action immédiate, ou pendant les vacances du dirigeant supposé l'avoir envoyé. Les attaquants étudient les calendriers via LinkedIn et les absences publiques.

05 — TechniqueLes défenses techniques.

Aucune formation ne suffit sans dispositif technique pour arrêter ce qui peut l'être avant même qu'il n'arrive dans la boîte des collaborateurs. Voici le socle minimum pour une PME romande en 2026 :

  1. Bloc 01

    SPF, DKIM, DMARC sur votre domaine

    Trois enregistrements DNS qui empêchent un attaquant d'envoyer un email en se faisant passer pour votre domaine. Coût : zéro. Pourtant 8 PME vaudoises sur 10 n'ont pas DMARC configuré correctement. C'est la première chose à corriger.

  2. Bloc 02

    Filtrage avancé Microsoft 365 / Google Workspace

    Defender for Office 365 ou Google Workspace Enterprise — les filtres standards laissent passer le spear phishing ciblé. La protection avancée détecte les URL malveillantes à la volée et sandboxe les pièces jointes.

  3. Bloc 03

    MFA résistant au phishing

    L'authentification multifacteur classique (code SMS, code TOTP) est aujourd'hui contournable par des kits de phishing temps réel. Pour les comptes administrateurs et financiers, utilisez des clés FIDO2 (YubiKey, Titan) — un phishing ne peut pas les rejouer.

  4. Bloc 04

    EDR sur tous les postes

    Si un collaborateur clique malgré tout, l'EDR (Microsoft Defender, SentinelOne, Crowdstrike) détecte le comportement malveillant qui suit : téléchargement de payload, exécution suspecte, latéralisation. La défense en profondeur, c'est ça.

  5. Bloc 05

    Bannière externe sur les emails

    Ajouter automatiquement un bandeau « Email externe » en tête des emails venant de l'extérieur. Trivial à configurer, redoutablement efficace contre les usurpations internes. Activé en 30 minutes.

Le test DMARC en 30 secondes

Allez sur mxtoolbox.com ou dmarcian.com, entrez votre domaine. Si la politique DMARC est « none » ou absente, n'importe qui peut écrire en votre nom à vos clients. C'est aussi grave qu'une porte d'entrée sans serrure — et ça se règle en une matinée avec votre prestataire DNS.

06 — HumainFormer et simuler.

Le facteur humain reste, et restera, la dernière ligne de défense. La question n'est pas « faut-il former » mais « comment former pour que ça tienne dans la durée ». Voici ce qui fonctionne réellement sur le terrain :

L'atelier interactif de 45 minutes

Pas un e-learning passif. Une session physique ou visio avec des cas réels — anonymisés mais authentiques — récupérés dans la région ces six derniers mois. Les collaborateurs analysent ensemble, votent, débattent. Taux de rétention à 6 mois : ~70 %, contre ~15 % pour un module en ligne classique.

La simulation de phishing trimestrielle

Une campagne simulée envoyée à tous les collaborateurs, calibrée sur leur niveau. Pas pour piéger, pas pour humilier : pour mesurer et former par l'expérience. Le collaborateur qui clique reçoit immédiatement une page de pédagogie, pas un blâme. Le taux de clic se mesure et baisse de 25-30 % en moyenne au bout de trois campagnes.

Le canal de signalement clair

Un bouton « Signaler un email suspect » dans Outlook ou Gmail. Une adresse phishing@ dédiée. Et surtout : un retour systématique au collaborateur qui signale, même quand c'est un faux positif. Ce qui se mesure, c'est le nombre de signalements, pas seulement le nombre de clics. Une équipe qui signale 30 emails par mois est une équipe qui voit.

Le meilleur indicateur de maturité d'une PME n'est pas le taux de clic sur les simulations. C'est le nombre de signalements spontanés que reçoit l'IT chaque mois. Méthodologie sensibilisation · Leman

07 — RéactionSi quelqu'un a cliqué.

Premier point : pas de panique, et surtout pas de blâme. L'objectif est de transformer chaque clic en information utile pour l'organisation. Voici la séquence :

  1. H+0 — Isoler le poste du réseau (débrancher le câble Ethernet, couper le Wi-Fi). Ne pas éteindre.
  2. H+5 — Changer immédiatement le mot de passe du collaborateur sur tous les services concernés. Activer le MFA s'il n'y était pas.
  3. H+10 — Vérifier la boîte mail du collaborateur : règles de transfert automatique malveillantes, emails envoyés à son insu, accès depuis des IP inhabituelles.
  4. H+30 — Analyser les logs Microsoft 365 : y a-t-il eu connexion depuis une IP étrangère ? Téléchargement de fichiers ? Création de partages externes ?
  5. H+60 — Décider du périmètre. Si une intrusion est confirmée, basculer sur le protocole d'urgence incident. Notifier le NCSC et, le cas échéant, le PFPDT au titre de la nLPD.
!
Le piège du silence

Beaucoup de collaborateurs, par honte, ne signalent pas un clic suspect. Or chaque heure de retard double l'ampleur potentielle de l'incident. La culture interne doit explicitement valoriser le signalement — y compris a posteriori, y compris si on a cliqué. C'est un message qui doit venir de la direction, pas de l'IT.

À retenir

Huit points pour tenir le phishing à distance

  1. 01Le phishing 2026 n'a plus de fautes. L'IA générative a éliminé le signal le plus connu. La défense est désormais procédurale, pas orthographique.
  2. 02Pour une PME romande, BEC et spear phishing représentent 70 % des incidents documentés.
  3. 03Configurez SPF, DKIM, DMARC sur votre domaine. Coût : zéro. Effet immédiat : vos clients ne recevront plus d'emails frauduleux signés de votre nom.
  4. 04Activez la protection avancée Microsoft 365 / Google Workspace. Les filtres standards laissent passer le ciblé.
  5. 05Pour les comptes critiques (direction, finance, admin) : MFA par clé FIDO2, pas par SMS ni TOTP.
  6. 06La formation interactive de 45 min trimestrielle bat l'e-learning à 70 % contre 15 % de rétention à 6 mois.
  7. 07L'indicateur clé n'est pas le taux de clic sur les simulations, c'est le nombre de signalements spontanés reçus par l'IT chaque mois.
  8. 08Si quelqu'un a cliqué : isoler, changer le mot de passe, vérifier les règles de transfert, auditer les logs — dans cet ordre, dans l'heure.
Sensibilisation

Une équipe formée vaut tous les filtres techniques.

Notre programme de sensibilisation combine un atelier interactif de 45 min, une campagne de simulation trimestrielle calibrée sur votre secteur, et un indicateur de progression sur 12 mois. Dès CHF 90 par collaborateur, accompagnement compris.

Organiser un atelier Évaluer ma maturité en 5 min
Gabriel Rossi
Gabriel Rossi Fondateur · Leman Cyber Security

Plus de 40 ateliers de sensibilisation animés auprès de PME en Suisse romande depuis 2023. Méthodologie d'atelier issue de l'expérience SOC Tier 2/3 — pas d'un manuel théorique.

Sources et références

  1. OFCS — Office fédéral de la cybersécurité, rapport semestriel 2024
  2. NCSC.ch — Communications publiques sur les campagnes en Suisse
  3. Verizon Data Breach Investigations Report 2024 (DBIR)
  4. ANSSI / NIST — Recommandations DMARC / DKIM / SPF
  5. FIDO Alliance — Standards d'authentification résistante au phishing
  6. Police cantonale vaudoise — Statistiques sur la fraude BEC 2024
À lire ensuite

Trois dossiers pour aller plus loin.

Dossier 04 · Incident

Ransomware : que faire en urgence

60 % des ransomwares commencent par un email de phishing. Voici le protocole d'urgence.

Lire Dossier 02 · Audit

Audit cybersécurité à Lausanne

Vérifier l'état réel de vos défenses email — DMARC, MFA, filtrage avancé.

Lire Dossier 03 · Conformité

Conformité nLPD pour PME vaudoises

Une fuite de données par phishing ? Vos obligations de notification au PFPDT.

Lire