Près des trois quarts des cyberattaques en entreprise démarrent par du phishing ou hameçonnage, d’après le Club des experts de la sécurité de l’information et du numérique (CESIN). Il devient donc primordial d’aider vos employés à repérer les tentatives de phishing via des campagnes de simulation régulières.

Si le phishing reste un vecteur d’attaque privilégié, les attaquants font aussi évoluer leurs pratiques en la matière. Ils mettent sur pied des attaques de plus en plus ciblées et personnalisées, et donc de plus en plus difficiles à repérer pour vos employés. Comment réussir vos campagnes de simulation de phishing dans ce contexte ?

Après avoir lu cet article, vous saurez comment doit se dérouler une campagne de simulation de phishing pour être efficace et quelles sont les cinq erreurs à éviter absolument pour optimiser vos différents envois.

Comment se déroule une campagne de simulation de phishing ?

L’objectif d’une campagne de simulation de phishing est de tester les réflexes des employés en cas de tentative de phishing. Pour cela, un e-mail est envoyé aux utilisateurs et tente par exemple de les inciter à cliquer sur un lien frauduleux ou à ouvrir une pièce jointe infectée.

Une fois la campagne terminée, l’entreprise peut évaluer le pourcentage de personnes ayant cliqué sur le lien ou ouvert la pièce jointe. En ce sens, les campagnes de simulation de phishing permettent d’évaluer le niveau de maturité des employés face aux risques cyber. Encore faut-il respecter quelques règles pour construire des simulations efficaces, et surtout éviter quelques erreurs.

Erreur n° 1 : envoyer des e-mails ni réalistes ni ciblés

On distingue deux grandes manières de pratiquer le phishing : le phishing « de masse » et le spear phishing ou attaque de harponnage. Le premier consiste à envoyer le même e-mail à un très grand nombre de personnes et au moment, quand le second mise sur des e-mails personnalisés et ciblés, et donc très efficaces.

Concrètement, si votre campagne de simulation de phishing envoie des e-mails avec des noms d’expéditeurs farfelus, des outils que vous n’utilisez pas ou encore des informations complètement fantasques, votre simulation ne sera pas réaliste et l’entraînement aura peu d’intérêt. Vous avez tout intérêt à entraîner vos salariés en « conditions réelles ». Si vous prenez le temps de personnaliser votre e-mail de phishing avec le nom d’un directeur de l’entreprise, un (faux) lien vers l’un de vos outils métier ou encore les coordonnées de l’un de vos fournisseurs, il sera beaucoup plus réaliste. Votre simulation sera similaire à ce que les hackers sont aujourd’hui capables de faire en récupérant des informations sur Internet à propos de votre entreprise.

Deuxième point important pour la préparation de vos campagnes de simulation : à qui allez-vous envoyer les e-mails de phishing ? Évitez d’envoyer le même e-mail à tout le monde et au même moment. Il est préférable de cibler une direction, une équipe ou encore une fonction au sein de l’entreprise. Variez le contenu des e-mails, mais aussi les heures et les jours d’envoi.

Erreur n° 2 : ne pas varier les scénarios

Les hackers utilisent différentes manières pour inciter l’utilisateur à réaliser une action. Il peut s’agir d’un e-mail contenant un lien frauduleux sur lequel l’utilisateur est incité à cliquer, d’une pièce jointe infectée, d’une autorisation à accorder, etc. Vos e-mails de simulation doivent refléter cette variété.

Il est également préférable que vos campagnes reflètent les différents scénarios utilisés par les hackers. Voici quelques exemples de scénarios qui permettront d’entraîner vos employés :

  • Un e-mail semblant émaner de votre fournisseur de messagerie et invitant les employés à mettre à jour leurs identifiants de connexion en cliquant sur un lien.
  • Un e-mail semblant provenir d’un de vos fournisseurs avec une pièce jointe infectée à télécharger (une fausse facture, par exemple).
  • Une notification de partage de document semblant émaner d’un collègue.

En intégrant différents scénarios au sein de vos campagnes de simulation, vos employés pourront se familiariser avec les différentes tentatives de phishing auxquelles ils risquent d’être confrontés. En étant exposés aux techniques les plus couramment utilisées par les hackers, ils développeront leurs réflexes.

Erreur n° 3 : ne pas définir de fréquence

Tous les grands sportifs le disent : on obtient de grandes performances grâce à la régularité. Même si la sensibilisation à la cybersécurité n’est pas (encore) considérée comme un sport de haut niveau, elle obéit pourtant à cette même règle, car on sait que le taux d’employés qui ne détectent pas les tentatives de phishing baisse quand les simulations sont plus fréquentes. L’entraînement permettra de changer le comportement des utilisateurs sur la durée.

Pour maintenir une bonne dynamique d’entraînement, pensez à planifier vos différents envois. Comment savoir quelle est la bonne fréquence ? D’après les recherches effectuées par Terranova Security, le délai idéal entre chaque simulation varie de 40 à 60 jours. Vous pouvez donc envisager de planifier entre 6 et 10 simulations par an et par utilisateur, avec à chaque fois des scénarios différents, et si possible une actualisation des techniques utilisées par les hackers. Cette fréquence permet aux collaborateurs de toujours garder à l’esprit la question de la cybersécurité et de ne pas baisser leur niveau de vigilance.

Erreur n° 4 : ne pas impliquer les utilisateurs

Les collaborateurs se retrouvent bien souvent en première ligne lorsqu’une tentative d’extorsion de données ou d’intrusion se produit. C’est bien leur capacité à détecter une tentative de phishing qui permettra à la tentative d’échouer ou de réussir. La prévention et la formation des collaborateurs doivent donc désormais faire partie intégrante des stratégies de cybersécurité des organisations. Une bonne prise de conscience des risques cyber et un travail d’entraînement régulier sont capables de donner de bons résultats. Le fait de ne pas impliquer suffisamment les employés constitue un problème.

Concrètement, plusieurs actions sont possibles pour impliquer et responsabiliser les salariés à l’occasion des simulations de phishing : leur apprendre à repérer et signaler les menaces, à vérifier les informations qui leur semblent douteuses, à partager ces bonnes pratiques auprès de leurs collègues, et pourquoi pas en faire des ambassadeurs en matière de cybersécurité.

L’objectif de toutes ces actions est de faire de vos collaborateurs des maillons essentiels de votre chaîne de cybersécurité et de votre culture en la matière. Des collaborateurs impliqués progresseront mieux et adopteront plus facilement les bons réflexes.

Erreur n° 5 : ne pas analyser les résultats des campagnes

Les résultats de vos premières campagnes de simulation sont disponibles et vous vous demandez comment les interpréter ? On estime qu’une campagne de simulation de phishing réussie doit viser un taux de clic sur les liens inférieur à 5 %. Ne vous découragez pas si vos chiffres sont plus élevés lors des premiers envois, vos simulations de phishing sont justement là pour faire progresser vos collaborateurs. L’essentiel est que vos chiffres, campagne après campagne, reflètent leur progression. D’autre part, vous pouvez travailler à éviter qu’un nombre trop important de « faux positifs » ne vienne fausser vos données (lorsque les robots de vos logiciels de sécurité cliquent sur les liens).

Avez-vous pensé à partager les résultats de vos campagnes de simulation ? Certains utilisateurs apprécieront de connaître leurs résultats après les différentes simulations de phishing. Ils pourront ainsi constater leur progrès. Ce partage peut renforcer leur motivation à faire mieux lors des prochaines simulations.

Pour être véritablement efficace, votre programme de sensibilisation à la cybersécurité ne doit d’ailleurs pas s’arrêter aux simulations de phishing, mais s’intégrer dans une formation plus large. Les résultats de vos simulations vous donneront des éléments sur le niveau de maturité de vos collaborateurs en matière de cybersécurité et vous permettront d’identifier les sujets sur lesquels il est nécessaire d’insister pour développer leurs compétences.

En bref

Vous savez désormais quels sont les erreurs à éviter et les points à soigner pour construire des simulations de phishing efficaces. Si celles-ci sont bien construites, vous pourrez réduire considérablement le risque de phishing au sein de votre entreprise.

Les menaces cyber évoluent sans cesse et les techniques des hackers également. Vos simulations de phishing doivent refléter ces évolutions et s’inscrire dans un processus d’amélioration continue. C’est ainsi que vous pourrez entretenir les réflexes de vos collaborateurs et mettre en place une culture de la sécurité.

Pensez également à intégrer vos campagnes de simulation de phishing dans un plan de formation à la cybersécurité. Si la lutte contre le phishing est essentielle, elle n’est malheureusement pas la seule menace cyber sur laquelle vous devez porter vos efforts.

 


 

Cybersecurity Hub

Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité

Visitez notre Hub de la cybersécurité gratuit pour apprendre et partager des informations cruciales sur l’phishing, l’ingénierie sociale et d’autres cybermenaces.