🎓 Sensibilisation du personnel

Sensibilisation à l'hameçonnage et au phishing en entreprise

Par Équipe éditoriale Loi25Simple Mis à jour le 7 juin 2026

L'hameçonnage (phishing) pousse un employé à cliquer ou divulguer un mot de passe. La sensibilisation lui apprend à le repérer, réagir et signaler — la protection la plus rentable.

🎣

Qu'est-ce que l'hameçonnage (phishing)?

L'hameçonnage (« phishing » en anglais) est une technique de fraude : une personne malveillante se fait passer pour une organisation de confiance (banque, fournisseur, service gouvernemental, collègue ou patron) pour vous amener à poser un geste précis — cliquer sur un lien, ouvrir une pièce jointe, saisir un mot de passe ou effectuer un paiement. Le message paraît légitime, mais il sert à voler des informations, installer un logiciel malveillant ou détourner des fonds.

Le terme couvre plusieurs variantes que vos employés doivent connaître :

Hameçonnage ciblé (spear phishing) message personnalisé visant une personne précise, souvent avec son nom, son poste et des détails réels.
Fraude au président (whaling) usurpation de l'identité d'un dirigeant pour faire approuver un virement ou une demande urgente par la comptabilité.
Hameçonnage par texto (smishing) SMS frauduleux, par exemple un faux avis de livraison ou de remboursement.
Hameçonnage vocal (vishing) appel téléphonique où le fraudeur se fait passer pour le soutien informatique ou une institution financière.
Hameçonnage par code QR (quishing) code QR menant vers une fausse page de connexion.

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1^re année

En savoir plus →

🎯

Pourquoi les PME sont-elles ciblées?

Beaucoup de dirigeants croient être trop petits pour intéresser les fraudeurs. C'est l'inverse : les PME sont des cibles de choix parce qu'elles disposent de données et de fonds réels, mais souvent avec moins de protections techniques et de personnel formé qu'une grande entreprise. Selon Statistique Canada (2023), environ 16 % des entreprises canadiennes ont déclaré avoir été touchées par un incident de cybersécurité.

Plusieurs facteurs rendent les PME vulnérables :

Les attaques sont massives et automatisées : un message frauduleux est envoyé à des milliers d'adresses, sans cibler une marque en particulier.
Une PME conserve des renseignements personnels de clients, d'employés et de fournisseurs — des données monnayables.
Les processus d'approbation des paiements sont parfois informels, ce qui facilite la fraude au président.
Sans sensibilisation, un seul clic d'un employé peut suffire à compromettre tout le réseau.

La bonne nouvelle : la majorité des tentatives d'hameçonnage échouent dès qu'un employé sait quoi regarder. Le Centre canadien pour la cybersécurité publie d'ailleurs des ressources gratuites destinées aux petites et moyennes entreprises.

🚩

Les signaux d'alerte d'un courriel d'hameçonnage

Aucun signal pris isolément ne prouve une fraude, mais leur accumulation doit éveiller la méfiance. Une bonne sensibilisation ancre le réflexe de vérifier ces quatre dimensions avant tout clic :

À vérifier	Signal d'alerte concret
L'expéditeur	Adresse qui imite un nom connu avec une faute, un domaine public (gmail, outlook) pour une « banque », ou un nom d'affichage qui ne correspond pas à l'adresse réelle.
Le ton et l'urgence	Pression au paiement immédiat, menace de suspension de compte, demande de confidentialité, gain inattendu. L'urgence sert à court-circuiter votre jugement.
Les liens	Adresse réelle (visible en survolant le lien) différente du texte affiché, domaine inhabituel, lien raccourci, ou page de connexion qui demande vos identifiants.
Les pièces jointes	Fichier inattendu, facture d'un fournisseur inconnu, document demandant d'« activer les macros », extension douteuse (.zip, .html, .exe).

Ajoutez à cela les fautes d'orthographe inhabituelles, une formule d'appel impersonnelle (« Cher client ») et toute demande de mot de passe par courriel aucune organisation légitime ne procède ainsi.

🛡️

Comment réagir et signaler une tentative

Le bon réflexe tient en trois mots : ne rien faire, vérifier, signaler. Devant un message suspect, vos employés doivent savoir exactement quoi faire :

Ne cliquez sur aucun lien et n'ouvrez aucune pièce jointe tant que le doute n'est pas levé.
Ne répondez pas et ne fournissez jamais de mot de passe ni d'information bancaire par courriel ou par téléphone.
Vérifiez par un autre canal : rappelez la personne au numéro officiel connu, pas à celui inscrit dans le message.
Signalez le message à la personne responsable de l'informatique ou de la sécurité dans votre organisation, même en cas de simple doute.
Si vous avez déjà cliqué ou saisi des informations : changez immédiatement le mot de passe concerné, prévenez votre responsable et conservez le message comme preuve.

L'objectif d'une culture de sécurité saine est qu'un employé qui a cliqué se sente encouragé à le signaler rapidement plutôt que de le cacher. Plus le signalement est rapide, plus on limite les dégâts. Établir un canal de signalement clair fait partie de la sensibilisation du personnel à la cybersécurité.

🧠

Comment fonctionne un programme de sensibilisation efficace contre le phishing?

Une présentation annuelle d'une heure ne change pas durablement les comportements. Un programme de sensibilisation qui fonctionne repose sur deux piliers : des mises en situation concrètes et des simulations répétées dans le temps. La formation devient alors continue plutôt que ponctuelle.

Mises en situation réalistes on présente de vrais exemples de messages frauduleux et on apprend à repérer chaque signal d'alerte.
Simulations d'hameçonnage des courriels d'entraînement, inoffensifs, sont envoyés aux employés pour mesurer qui clique et offrir une rétroaction immédiate, sans blâme.
Micro-apprentissage des modules courts d'environ 30 minutes, plus faciles à intégrer qu'une longue session, avec des rappels réguliers.
Suivi et certificats un tableau de bord montre qui a complété la sensibilisation et conserve des certificats nominatifs comme preuve.
Répétition la vigilance s'entretient : des rappels périodiques par courriel, Slack ou Teams maintiennent le réflexe.

Vous pouvez approfondir le fonctionnement des simulations d'hameçonnage en entreprise et la manière dont elles s'intègrent à un programme de cybersécurité complet sur notre page pilier consacrée à la cybersécurité pour PME.

⚖️

Hameçonnage et protection des renseignements personnels

Un seul clic peut transformer une tentative d'hameçonnage en incident de confidentialité. Si un fraudeur obtient l'accès à votre messagerie ou à vos systèmes, il peut consulter, copier ou voler des renseignements personnels de vos clients et de vos employés. Au sens de la Loi 25, un tel accès non autorisé peut constituer un incident de confidentialité que votre entreprise a l'obligation de gérer et, le cas échéant, de déclarer à la Commission d'accès à l'information du Québec et aux personnes concernées.

La Loi 25 exige de prendre des mesures de sécurité propres à assurer la protection des renseignements personnels. Elle n'impose pas nommément une sensibilisation à la cybersécurité, mais sensibiliser vos employés à reconnaître l'hameçonnage soutient concrètement cette obligation : c'est l'une des mesures raisonnables qui réduit le risque d'un accès non autorisé. La sensibilisation à la sécurité s'inscrit ainsi dans le même effort que la formation Loi 25 de vos employés.

Pour explorer plus en détail comment la sensibilisation à la cybersécurité s'articule avec vos obligations légales, consultez notre page sur le lien entre la cybersécurité et la Loi 25.

📚 Références officielles

Sources officielles

Les informations présentées sur cette page sont tirées du texte de loi officiel du Québec et des publications de la Commission d'accès à l'information. Consultez directement les sources pour la version à jour :

→
LégisQuébec — Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1)
Texte de loi officiel modifié par la Loi 25
→
Commission d'accès à l'information du Québec (CAI) — Section entreprises
Guides, gabarits et décisions de l'autorité de surveillance
→
Québec.ca — Protection des renseignements personnels
Portail gouvernemental sur la Loi 25

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1^re année

En savoir plus →

Expertise Loi 25

À propos de Loi25Simple

Loi25Simple publie des contenus pratiques pour aider les PME québécoises à comprendre la Loi 25, former leurs employés et documenter leur conformité. Nos pages publiques visent la vulgarisation opérationnelle: obligations, sanctions, rôles internes, incidents et formation par fonction.

Pour qui

PME et équipes québécoises qui manipulent des renseignements personnels.

Ce qu’on couvre

RPRP, politiques, consentement, incidents, sanctions, formation et preuves de conformité.

Portée

Contenu d’information pratique et liens vers les ressources officielles du Québec quand la loi est citée.

❓

Questions fréquentes sur l'hameçonnage

Quelle est la différence entre hameçonnage et phishing? +

Aucune : « hameçonnage » est simplement le terme français de « phishing ». Les deux désignent une fraude par message frauduleux qui pousse une personne à cliquer, à divulguer un mot de passe ou à effectuer un paiement. Au Québec, on privilégie le mot « hameçonnage ».

Comment reconnaître un courriel d'hameçonnage? +

Vérifiez quatre éléments : l'expéditeur (adresse qui imite un nom connu), le ton (urgence ou menace), les liens (adresse réelle différente du texte affiché, visible en survolant le lien) et les pièces jointes inattendues. La présence de plusieurs de ces signaux doit éveiller la méfiance.

Que faire si un employé a cliqué sur un lien d'hameçonnage? +

Agissez vite : changez immédiatement le mot de passe concerné, prévenez la personne responsable de la sécurité et conservez le message comme preuve. Encouragez le signalement rapide plutôt que la dissimulation, car plus la réaction est précoce, plus on limite les dégâts.

Les PME sont-elles vraiment visées par l'hameçonnage? +

Oui. Les attaques sont massives et automatisées, et les PME détiennent des données et des fonds réels avec souvent moins de protections qu'une grande entreprise. Selon Statistique Canada (2023), environ 16 % des entreprises canadiennes ont déclaré avoir été touchées par un incident de cybersécurité.

Une simulation d'hameçonnage, est-ce utile? +

Oui. Une simulation envoie des courriels d'entraînement inoffensifs pour mesurer qui clique et offrir une rétroaction immédiate, sans blâme. Répétée dans le temps, elle ancre le réflexe de vérification bien mieux qu'une présentation théorique annuelle.

L'hameçonnage est-il lié à la Loi 25? +

Indirectement, mais étroitement. Un clic réussi peut donner accès à des renseignements personnels et constituer un incident de confidentialité au sens de la Loi 25. La loi exige des mesures de sécurité raisonnables; former le personnel à l'hameçonnage soutient cette obligation sans pour autant être imposé nommément par la loi.

Combien de temps dure une sensibilisation à l'hameçonnage? +

Un module de sensibilisation efficace dure environ 30 minutes, complété par des rappels courts et des simulations périodiques. La vigilance s'entretient dans le temps : mieux vaut de courtes séances répétées qu'une longue formation ponctuelle.