Pièces jointes suspectes dans vos e-mails : six types de fichiers à surveiller en 2026

Toutes les pièces jointes ne sont pas dangereuses — mais toutes ne sont pas inoffensives non plus. Ces six types de fichiers méritent une attention particulière, et voici quoi faire si vous avez cliqué par accident.

Vous recevez un e-mail d'un fournisseur. Ou un message via votre formulaire de contact. Ou une candidature. Et il y a une pièce jointe. La plupart du temps, c'est parfaitement normal — mais parfois non. Comment savoir quelles pièces jointes il vaut mieux ignorer, sans être expert en informatique ?

Dans cet article, nous passons en revue les types de fichiers les plus utilisés en 2026 dans les attaques de phishing et de malware ciblant les PME. Et aussi : que faire si vous avez quand même cliqué par mégarde.

Pourquoi les pièces jointes restent si populaires chez les cybercriminels

Les filtres e-mail se sont nettement améliorés ces dernières années. Les liens suspects sont souvent bloqués en amont. Mais une pièce jointe ? Elle passe parfois sans problème, surtout si l'expéditeur semble légitime. Et si la pièce jointe ressemble à une facture, un bon de livraison ou un CV, quelqu'un cliquera dessus plus vite que vous ne le pensez.

Le danger, c'est qu'un seul clic peut suffire. Pas nécessairement pour paralyser tout votre réseau — c'est un mythe — mais bien pour installer quelque chose qui ne se remarquera que plusieurs jours plus tard.

Les six types de fichiers à examiner avec un œil critique

1. .zip, .rar et .7z (dossiers compressés)

Un fichier ZIP n'est pas dangereux en soi, mais c'est le moyen idéal pour faire passer quelque chose de malveillant à travers un filtre e-mail. Son contenu est dissimulé. Vous recevez un ZIP de la part de quelqu'un à qui vous ne vous attendiez pas ? Ne l'ouvrez pas, et vérifiez auprès de l'expéditeur via un autre canal (téléphone, WhatsApp) si c'est bien lui qui l'a envoyé.

2. .iso, .img et .vhd (images disque)

Autrefois réservés aux professionnels IT pour simuler des CD d'installation, ces fichiers sont aujourd'hui utilisés pour contourner la sécurité Windows : un ISO s'ouvre comme un disque indépendant et les fichiers qu'il contient n'affichent aucun avertissement. Un fournisseur ne vous enverra jamais une facture en format ISO. Un point, c'est tout.

3. .html et .htm (pages web en pièce jointe)

Un fichier HTML s'ouvre dans votre navigateur et peut ressembler à une page de connexion Microsoft ou à un écran DocuSign. Mais il s'exécute en local, donc votre barre d'adresse n'affichera pas « microsoft.com ». C'est l'une des techniques de phishing qui progresse le plus rapidement en ce moment. Vous recevez une pièce jointe HTML ? Supprimez-la.

4. .xlsm, .docm et .pptm (fichiers Office avec macros)

Le « m » en fin d'extension signifie macros : de petits programmes qui s'exécutent à l'ouverture du fichier. Microsoft bloque désormais par défaut les macros dans les fichiers provenant d'Internet, mais il existe encore des moyens de contourner ce blocage — par exemple en glissant le fichier dans un ZIP (voir point 1). Vous n'attendiez pas de fichier avec macros ? Ne l'ouvrez pas.

5. .lnk (raccourcis)

Un raccourci peut sembler anodin, mais il peut en coulisse exécuter une commande qui télécharge un malware. Les fichiers LNK n'ont rien à faire dans un e-mail. Jamais.

6. .pdf — oui, eux aussi

Un PDF est généralement sûr à consulter, mais il est souvent utilisé comme relais : le PDF contient un bouton « Voir le document » qui redirige vers un site de phishing. La pièce jointe elle-même est alors techniquement inoffensive, mais pas le lien qu'elle renferme. Méfiez-vous particulièrement des PDF contenant des boutons de connexion ou des QR codes.

Les quatre questions à se poser avant d'ouvrir

1. Est-ce que j'attendais ceci ? Une facture inattendue d'un expéditeur inconnu est suspecte. Une offre attendue de votre fournisseur habituel, beaucoup moins.
2. L'expéditeur est-il vraiment celui qu'il prétend être ? Pas seulement le nom, mais aussi l'adresse e-mail. « Jean Dupont <jean@entreprise-connue.fr> » est différent de « Jean Dupont <jean@entreprise-conn1e.fr> ».
3. Le ton correspond-il à cet expéditeur ? Votre comptable écrit soudainement avec des fautes et une urgence inhabituelle ? Appelez-le.
4. Y a-t-il une pression ou une urgence ? « À payer aujourd'hui », « sinon blocage », « confidentiel - ne pas transférer » : ce sont des signaux d'alarme.

Que faire si vous avez quand même cliqué ?

Ça arrive. Pas de honte, mais agissez — et vite :

• Débranchez le câble réseau ou désactivez le Wi-Fi sur l'ordinateur concerné. Mieux vaut rester hors ligne quelques heures que de laisser quelque chose se propager.
• Signalez-le immédiatement à la personne responsable de l'IT chez vous — même si c'est un prestataire externe. Pas demain, maintenant.
• Changez vos mots de passe, en commençant par votre e-mail et votre logiciel de comptabilité. Faites-le depuis un autre appareil.
• Vérifiez que la 2FA est toujours active sur vos comptes principaux. Les attaquants tentent parfois de la désactiver dès qu'ils ont un accès.
• Surveillez votre compte bancaire dans les jours qui suivent, et prévenez vos collègues que des e-mails suspects pourraient être envoyés en votre nom.

Ce que vous pouvez faire de manière structurelle

La sensibilisation, c'est bien, mais envoyer un e-mail une fois par an ne suffit pas. Ce qui fonctionne vraiment dans un contexte PME :

• Configurez votre filtre e-mail pour bloquer les pièces jointes de type .iso, .lnk et .html — vous n'en avez besoin dans 99 % des cas de toute façon.
• Assurez-vous que Microsoft 365 ou Google Workspace analyse les pièces jointes avant leur livraison (Safe Attachments / Advanced Protection).
• Établissez comme règle que tout changement d'IBAN doit être confirmé par téléphone — quelle que soit la conviction que dégage l'e-mail.
• Vérifiez que vos enregistrements SPF, DKIM et DMARC sont correctement configurés, pour empêcher les cybercriminels d'envoyer facilement des e-mails au nom de votre domaine.

Vous n'êtes pas sûr que la sécurité de vos e-mails soit au point ? Nous réalisons un audit de sécurité e-mail (SPF/DKIM/DMARC) dans lequel nous identifions précisément les failles — sans que vous ayez à plonger vous-même dans les enregistrements DNS. Commencez par là, et nous filtrerons la grande majorité des menaces avant qu'elles n'atteignent vos collaborateurs.