Mis à jour le 29 mars 2026

Smishing : SMS frauduleux en entreprise, reconnaître et bloquer les attaques

En 2025, les Français ont reçu plus de 600 millions de SMS frauduleux. Le smishing, ou phishing par SMS, ne cible pas que les particuliers : les collaborateurs de PME reçoivent ces messages sur leurs téléphones professionnels. Un simple clic peut compromettre l’ensemble de votre système d’information.

Sommaire

Qu’est-ce que le smishing ?

Le smishing (contraction de « SMS » et « phishing ») est une technique d’attaque qui utilise les messages texte pour tromper les victimes. L’objectif : vous faire cliquer sur un lien malveillant, télécharger un logiciel espion ou communiquer des informations sensibles.

Le smishing est particulièrement dangereux car les SMS bénéficient d’un taux d’ouverture de 98%, contre 20% pour les emails. De plus, les écrans de smartphones rendent difficile la vérification des URL. Et contrairement aux emails, les SMS disposent de moins de filtres anti-spam.

En contexte professionnel, le smishing peut cibler les téléphones d’entreprise ou les téléphones personnels utilisés dans le cadre du travail (BYOD). Les conséquences peuvent être lourdes : vol d’identifiants, installation de malware, accès au réseau de l’entreprise.

Les scénarios de smishing en entreprise

Les attaquants adaptent leurs messages au contexte professionnel pour maximiser leur efficacité.

Le faux colis professionnel

« Votre colis est en attente de livraison. Confirmez l’adresse de livraison : [lien] ». Avec les achats professionnels fréquents, un collaborateur peut légitimement attendre un colis et cliquer sans méfiance.

La fausse notification RH

« Votre bulletin de paie de février est disponible. Connectez-vous pour le consulter : [lien] ». Le lien mène à une fausse page de connexion qui capture les identifiants de l’entreprise.

L’alerte bancaire fictive

« Transaction suspecte de 3 890 EUR sur le compte professionnel de [votre entreprise]. Vérifiez immédiatement : [lien] ». La panique provoquée par le montant pousse à agir sans réfléchir.

Le faux message du dirigeant

« C’est urgent, je suis en réunion. Peux-tu acheter des cartes cadeaux pour les clients ? Je te rembourse. Dis-moi quand c’est fait. » Ce SMS, envoyé depuis un numéro inconnu, exploite la relation hiérarchique.

La fausse mise à jour de sécurité

« Votre accès Microsoft 365 expire dans 2h. Renouvelez maintenant : [lien] ». Le collaborateur, craignant de perdre l’accès à ses outils de travail, clique et saisit ses identifiants.

98%Taux d’ouverture des SMS (vs 20% pour les emails)
600MSMS frauduleux envoyés en France en 2025
45%Des victimes cliquent dans les 5 premières minutes

Comment reconnaître un SMS frauduleux

Quelques réflexes simples permettent de détecter la grande majorité des tentatives de smishing.

Point clé : Un organisme légitime (banque, administration, opérateur) ne vous demandera JAMAIS de communiquer des informations sensibles par SMS. Si un SMS vous demande de cliquer sur un lien pour « vérifier », « confirmer » ou « mettre à jour » des données, c’est presque systématiquement une arnaque.

Les indices révélateurs

  • Expéditeur inconnu : numéro court inhabituel ou numéro de mobile
  • Urgence artificielle : « dans les 2 heures », « immédiatement », « dernier avis »
  • Lien suspect : URL raccourcie (bit.ly), domaine inhabituel, fautes dans l’URL
  • Fautes d’orthographe : les SMS frauduleux contiennent souvent des erreurs
  • Demande d’action inhabituelle : cliquer, appeler un numéro surtaxé, envoyer un code
  • Informations vagues : « votre colis », « votre compte » sans précision
  • Message non sollicité : vous n’attendez pas de livraison, vous n’avez rien commandé

Protéger votre entreprise contre le smishing

La protection contre le smishing combine sensibilisation, procédures et outils techniques.

Sensibilisation des collaborateurs

  • Former régulièrement les équipes à reconnaître les SMS frauduleux
  • Organiser des campagnes de simulation pour tester la vigilance
  • Diffuser des exemples concrets de smishing reçus dans l’entreprise
  • Encourager le signalement systématique au 33700 (plateforme nationale)

Mesures techniques

  • Installer un antivirus professionnel sur tous les smartphones (MDM)
  • Activer le filtrage SMS intégré aux smartphones (Apple et Android)
  • Déployer une solution de Mobile Device Management pour contrôler les appareils professionnels
  • Activer l’authentification multi-facteurs sur tous les comptes professionnels
  • Bloquer les URL suspectes au niveau du réseau d’entreprise

Procédures internes

  • Ne jamais communiquer d’informations sensibles suite à un SMS
  • Vérifier les demandes par un second canal (appel direct, email officiel)
  • Signaler tout SMS suspect au service informatique
  • Transférer les SMS frauduleux au 33700

Que faire en cas de clic sur un lien frauduleux

Si un collaborateur a cliqué sur un lien de smishing, chaque minute compte.

  1. Ne saisissez aucune information : si une page de connexion s’affiche, fermez-la immédiatement
  2. Déconnectez le téléphone du réseau Wi-Fi de l’entreprise
  3. Alertez votre service informatique ou votre prestataire IT
  4. Changez les mots de passe de tous les comptes potentiellement compromis
  5. Vérifiez les applications installées : supprimez toute application suspecte
  6. Lancez un scan antivirus complet du téléphone
  7. Surveillez vos comptes bancaires et professionnels pendant les jours suivants

Si des identifiants ont été saisis sur une fausse page, changez-les immédiatement et activez la double authentification si ce n’est pas déjà fait.

Questions fréquentes
3 questions
Non, ouvrir et lire un SMS ne présente aucun risque en soi. Le danger survient quand vous cliquez sur le lien contenu dans le SMS ou que vous téléchargez une pièce jointe. Cependant, certaines vulnérabilités rares permettent une attaque par simple réception de SMS (zero-click). Maintenez toujours votre téléphone à jour pour vous en prémunir.
Les numéros sont collectés via des fuites de données, des annuaires professionnels en ligne, les réseaux sociaux, les sites web d’entreprise ou achetés sur des marchés de données. Limitez la publication de numéros de téléphone sur votre site web et vos profils professionnels. Consultez aussi les bases de données de fuites pour vérifier si vos coordonnées ont été compromises.
Oui, le 33700 est la plateforme officielle de signalement des SMS et appels indésirables en France. Chaque signalement contribue à identifier et bloquer les numéros frauduleux chez les opérateurs. Transférez simplement le SMS suspect au 33700. C’est gratuit et cela protège les autres utilisateurs.

Besoin d’accompagnement ?

Sécurisation des smartphones professionnels, formation anti-smishing et déploiement de solutions MDM : Odyssix protège votre flotte mobile contre les menaces par SMS.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter