Message d'absence : ce qu'il vaut mieux ne pas y mettre

Votre message d'absence révèle souvent bien plus d'informations que vous ne le pensez : qui est absent, combien de temps, et qui le remplace. Voici comment le configurer pour aider vos collègues sans faciliter la tâche des fraudeurs.

L'été approche, et avec lui le flot annuel de messages d'absence. À première vue, rien d'alarmant : juste une façon d'indiquer que vous n'êtes pas disponible et qui assure la relève. Mais ces quelques lignes de texte sont une mine d'or pour les fraudeurs — et la plupart des PME n'y pensent jamais.

Dans cet article, nous expliquons pourquoi votre message d'absence en dit plus que vous ne le croyez, et comment le rédiger de façon à aider vos collègues sans servir les personnes mal intentionnées.

Pourquoi ce message représente un risque

Un message d'absence type ressemble à ceci :

« Bonjour, je suis absent(e) du 7 au 28 juillet pour congés. Pour toute urgence, vous pouvez contacter mon collègue Marc Dupont à l'adresse marc.dupont@entreprise.fr ou au 06 12 34 56 78. Cordialement, Sandra Martin — Directrice financière. »

Qu'y lit-on concrètement ? Un fraudeur sait en dix secondes :

• La directrice financière est absente trois semaines.
• Son remplaçant s'appelle Marc, avec ses coordonnées directes.
• La structure des adresses mail est prenom.nom@entreprise.fr.
• Il dispose d'une fenêtre de trois semaines exactement pendant laquelle Sandra ne répondra pas rapidement.

Pour une fraude au faux dirigeant ou une fraude à la facture, c'est exactement ce qu'il faut. Un e-mail « de la part de Sandra » envoyé à Marc, avec urgence et un nouveau numéro de compte — et les chances de succès sont bien plus élevées qu'en semaine normale.

Les trois types de destinataires

Le problème avec les messages d'absence, c'est que le même texte est envoyé à trois groupes très différents :

1. Les collègues internes — ils n'ont pas besoin de ce message, ils voient déjà vos congés dans le calendrier partagé.
2. Les contacts externes connus — fournisseurs, clients, comptable. Eux peuvent savoir que vous êtes absent et qui contacter.
3. Les inconnus et spammeurs — tous ceux qui ont obtenu votre adresse d'une façon ou d'une autre. Eux n'ont pas à savoir quoi que ce soit.

La plupart des serveurs de messagerie (Microsoft 365, Google Workspace) permettent de distinguer les expéditeurs internes des externes. Utilisez cette fonctionnalité. Configurez deux messages distincts.

Comment rédiger un message d'absence sécurisé

Pour les expéditeurs externes : minimaliste et vague

Faites court et évitez les informations précises :

« Merci pour votre message. Je suis actuellement absent(e) et consulte mes e-mails de façon limitée. Pour toute urgence, vous pouvez contacter notre équipe via info@entreprise.fr. Je vous répondrai dès mon retour. »

Ce que nous ne faisons pas ici :

• Indiquer des dates précises (cela révèle la fenêtre d'exposition).
• Mentionner le nom d'un remplaçant personnel.
• Partager des numéros de téléphone directs.
• Répéter votre intitulé de poste (souvent déjà présent dans votre signature — supprimez-le de toute façon dans la réponse automatique).

En revanche : une adresse e-mail ou un numéro général géré par plusieurs personnes. Personne en particulier n'est mis en avant.

Pour les expéditeurs internes : pratique et direct

Ici, le message peut être plus précis, car vos collègues connaissent déjà l'organisation :

« Bonjour, je suis en vacances jusqu'au 28 juillet. Marc gère mes dossiers en cours, Linda s'occupe des paiements. En cas de vraie urgence : appelez mon mobile. »

Quatre règles supplémentaires qui font la différence

1. Aucune autorisation de paiement par e-mail. Convenez avec votre équipe que pendant les absences des personnes clés (direction, finance), aucun nouveau IBAN ni paiement urgent ne sera accepté sur la seule base d'un e-mail. Toujours rappeler sur un numéro connu. C'est une bonne règle en général, mais encore plus importante en été.

2. Désactivez votre signature dans la réponse automatique. Cette signature avec intitulé de poste, numéro de mobile et lien LinkedIn part par défaut. Créez une signature dédiée pour votre message d'absence, ou désactivez-la entièrement.

3. Limitez les destinataires du message. Dans Microsoft 365, vous pouvez configurer le message externe pour qu'il ne soit envoyé qu'à vos contacts. Les expéditeurs inconnus ne reçoivent alors rien du tout. Pour la plupart des fonctions en PME, cela fonctionne très bien.

4. Activez la 2FA, y compris sur la messagerie de votre remplaçant. Si votre remplaçant n'utilise pas encore la double authentification, c'est le moment de le faire — avant de partir en vacances. Un compte e-mail compromis chez le remplaçant est la dernière chose que vous souhaitez.

Un mot sur votre agenda et LinkedIn

Le message d'absence n'est pas le seul endroit où vos vacances peuvent fuiter. Une mention « En vacances jusqu'au 28/7 » sur LinkedIn fait exactement le même travail pour un fraudeur. Et si votre agenda partagé est visible publiquement (« Occupé » : OK, mais « Vacances Italie 7-28 juillet » : moins recommandé). Avant l'été, vérifiez qui peut voir quoi.

Checklist rapide avant de partir

• Deux réponses automatiques configurées : courte pour l'externe, complète pour l'interne.
• Pas de dates précises, pas de nom de remplaçant personnel, pas de numéro de téléphone dans le message externe.
• Signature désactivée dans la réponse automatique.
• L'équipe est informée : aucun changement d'IBAN ni paiement urgent sur simple e-mail.
• 2FA vérifiée sur la messagerie du remplaçant.
• LinkedIn et agenda public vérifiés pour éviter trop de détails.

Il faut dix minutes pour bien configurer tout cela — et cela vous évitera peut-être un appel stressant depuis la plage.

Vous avez un doute sur la sécurité de votre messagerie avant la période estivale ? Découvrez notre service de sécurité e-mail (SPF/DKIM/DMARC) ou commencez par activer la 2FA sur les bons comptes.