BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 27 juin 2026

Un lien inconnu dans votre e-mail : comment le vérifier sans cliquer ?

Comment juger en trente secondes si un lien inconnu dans un e-mail est fiable ? Une checklist pratique pour les PME sans service informatique.

Vous recevez un e-mail d'un fournisseur. Ou un devis d'un nouveau client. Ou une candidature. Il contient un lien qui pointe vers un site que vous ne connaissez pas encore. Vous cliquez ? Et si oui : que vérifiez-vous d'abord ?

Pour les personnes sans bagage informatique, cela ressemble souvent à un coup de dés. « Ça a l'air correct » ou « l'entreprise existe vraiment » ne sont pas de bons critères, et pourtant c'est ce que fait la plupart des gens. Dans cet article, nous vous montrons comment porter un jugement raisonnable sur une URL inconnue en environ trente secondes — sans rien avoir à installer.

Pourquoi c'est important

En 2026, les e-mails de phishing ne se trahissent plus par un mauvais français ou des logos flous. Les outils d'IA génèrent des messages soignés et personnalisés. Ce qui distingue presque toujours le vrai du faux, c'est la destination du lien. C'est là que se cachent les fautes de frappe, les domaines douteux et les enregistrements tout récents.

Bonne nouvelle : vous pouvez vérifier cette destination sans cliquer.

Étape 1 : lisez le lien avant de cliquer

Survolez le lien avec votre souris (ou maintenez votre doigt dessus sur mobile sans relâcher). En bas de votre écran ou dans une infobulle, vous voyez la vraie URL. Ne lisez que la partie qui précède le premier slash. Ainsi, dans :

https://login.microsoft.com.account-verify.ru/secure

...le vrai domaine est account-verify.ru, et non microsoft.com. La mention Microsoft n'est qu'une ruse pour tromper votre œil.

Règle d'or : lisez l'URL de droite à gauche. Le dernier segment avant le premier / est le domaine qui compte vraiment.

Étape 2 : repérez les fautes de frappe et les extensions suspectes

Les attaquants utilisent volontiers des domaines qui ressemblent à s'y méprendre à l'original :

  • rabobаnk.nl — le « a » est une lettre cyrillique
  • marktplааts.nl — lettres truquées en double
  • kvk-portal.com au lieu de kvk.nl
  • ing.nl.veilig-login.app — ING n'est pas sur .app

En cas de doute, tapez vous-même le domaine officiel dans un nouvel onglet. C'est plus rapide que de demander, et plus sûr que de cliquer.

Étape 3 : regardez à qui appartient le domaine

Une entreprise sérieuse possède généralement un domaine qui existe depuis des années. Un domaine de phishing n'a souvent que quelques jours ou semaines. Vous pouvez le vérifier vous-même via une recherche WHOIS. Pas besoin d'être technique — il existe des outils gratuits où vous saisissez un domaine et voyez sa date d'enregistrement.

Notre outil de recherche IP vous donne en un coup d'œil l'adresse IP, le pays d'hébergement et le fournisseur associés à un domaine. Une boutique en ligne néerlandaise qui tourne soudainement depuis un serveur dans un pays inattendu ? Ce n'est pas forcément grave, mais combiné à un e-mail pressant, c'est un signal d'alarme.

Étape 4 : ouvrez les liens suspects dans un environnement sécurisé

Vous devez absolument savoir ce que cache un lien — par exemple parce qu'un collègue vous demande si un e-mail est légitime — ne l'ouvrez pas sur votre ordinateur de travail. Deux options plus simples qu'elles n'en ont l'air :

  • Fenêtre de navigation privée sur un appareil personnel : pas idéal, mais mieux que votre session de travail habituelle où vous êtes connecté à tout.
  • Scanner d'URL en ligne : des services gratuits vous permettent de coller une URL et de l'ouvrir dans un environnement sandbox. Vous recevez une capture d'écran et un verdict sur la dangerosité du lien.

Ne faites jamais cela avec des liens contenant un élément personnel unique (comme un lien de réinitialisation de mot de passe ou un lien de facture avec un jeton). Ces liens ne fonctionnent souvent qu'une seule fois, et vous vous trahissez auprès de l'attaquant.

Étape 5 : faites confiance au cadenas, mais pas uniquement

Le cadenas dans la barre d'adresse signifie uniquement que la connexion est chiffrée. Les sites de phishing affichent eux aussi un cadenas bien en règle. Cela ne dit rien sur la fiabilité du propriétaire du site. Utilisez-le comme vérification de base, pas comme preuve.

Une courte checklist pour votre équipe

  1. Survolez le lien et lisez le domaine avant le premier /.
  2. Le domaine correspond-il lettre pour lettre à l'organisation officielle ?
  3. L'e-mail arrive à l'improviste et crée une urgence ? Soyez doublement méfiant.
  4. En cas de doute : tapez vous-même l'adresse officielle, ou appelez l'expéditeur via un numéro que vous connaissiez déjà.
  5. Ne vous connectez jamais via un lien provenant d'un e-mail que vous n'attendiez pas.

Si besoin, imprimez ces cinq règles et affichez-les à la réception ou dans la salle d'équipe. Pas besoin de compliquer les choses — l'essentiel, c'est de les appliquer.

Et si ça a quand même mal tourné ?

Quelqu'un a cliqué sur un lien suspect et a peut-être saisi ses identifiants ? Le temps est alors crucial. Changez immédiatement le mot de passe du compte concerné, déconnectez toutes les sessions actives, et vérifiez si l'authentification à deux facteurs est bien activée. Si ce n'est pas encore le cas partout, c'est le bon moment pour y remédier — un seul mot de passe volé ne suffira alors plus pour s'introduire.

Vous souhaitez savoir où est hébergé un domaine avant de cliquer dessus ? Notre outil de recherche IP est gratuit, sans inscription, et vous donne une première impression en quelques secondes.

Onderwerpen

#mkb #security #phishing #Praktisch #Tools Uitleg

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Sécurité pour les PME sans service IT : que faire ce trimestre ?

Pas d'équipe IT, mais une vraie responsabilité. Ce guide vous donne une liste de priorités : faites d'abord ceci, puis cela, puis le reste. Chaque point renvoie vers un guide approfondi.

2 min
Security zonder IT-afdeling

Pièces jointes suspectes dans vos e-mails : six types de fichiers à surveiller en 2026

Toutes les pièces jointes ne sont pas dangereuses — mais toutes ne sont pas inoffensives non plus. Ces six types de fichiers méritent une attention particulière, et voici quoi faire si vous avez cliqué par accident.

6 min
Security zonder IT-afdeling

QR-codes et phishing : pourquoi le coup de l'autocollant sur l'horodateur vous concerne aussi au bureau

Les QR-codes sont partout : sur les menus, les horodateurs et les factures. Mais les escrocs y collent de plus en plus souvent leur propre autocollant par-dessus. Voici comment les repérer et protéger votre équipe.

5 min
Security zonder IT-afdeling

Partager des fichiers en toute sécurité dans les PME : sans que tout le monde doive apprendre une nouvelle appli

La plupart des fuites de données dans les PME ne viennent pas de hackers, mais d'un lien partagé par erreur ou d'un compte invité oublié. Voici comment mettre en place un partage de fichiers sécurisé en une après-midi.

5 min
Security zonder IT-afdeling

Message d'absence : ce qu'il vaut mieux ne pas y mettre

Votre message d'absence révèle souvent bien plus d'informations que vous ne le pensez : qui est absent, combien de temps, et qui le remplace. Voici comment le configurer pour aider vos collègues sans faciliter la tâche des fraudeurs.

5 min
Security zonder IT-afdeling

Check-list d'été pour les PME : partez en vacances l'esprit tranquille

Les vacances d'été sont le moment que les fraudeurs attendent : des bureaux à moitié vides et moins de vigilance. Cette check-list pratique aide votre PME à aborder la période estivale en toute sécurité.

6 min
← Alle artikelen in "Security zonder IT-afdeling"