Le phishing, ou hameçonnage, représente le premier vecteur d’attaque chez les PME. Pour s’en prémunir, rien ne vaut l’organisation d’une campagne de sensibilisation au phishing. Elle peut jouer un rôle important pour protéger l’entreprise de ce risque cyber. Pourquoi et comment faire une campagne de phishing ? Les réponses se trouvent dans cet article.
Par définition, une campagne de sensibilisation au phishing consiste à envoyer un faux mail aux employés d’une entreprise qui va les inciter à transmettre des informations confidentielles ou à télécharger une pièce jointe.
En analysant le nombre de collaborateurs qui ont cliqué sur le lien hypertexte ou téléchargé la pièce jointe, il est possible d’évaluer la vulnérabilité de l’entreprise face aux dangers que représente la technique du phishing.
L’idée est de sensibiliser les salariés à cette technique de piratage, la plus répandue actuellement en entreprise, afin qu’ils adoptent les bons réflexes en cas de réception d’un mail douteux. Cela fait partie des bonnes pratiques de cybersécurité en entreprise qu'il est judicieux de mettre en place pour prouver sa bonne hygiène cyber.
Tous les collaborateurs de l’entreprise doivent être impliqués dans une campagne de sensibilisation au phishing, y compris le management et la direction. En effet, les pirates informatiques développent de plus en plus des formes de phishing personnalisées (on parle de spear phishing ou harponnage), qui ciblent les salariés à responsabilité.
Idéalement, une campagne de phishing se renouvelle à plusieurs reprises : c’est une sorte d’entraînement régulier au risque cyber. On peut l’étaler sur plusieurs mois, au rythme d’un mail de test par semaine, par mois ou par trimestre.
Une campagne de sensibilisation au phishing en entreprise vise à prévenir les cyberattaques par hameçonnage. Il suffit en effet d’une seule personne réceptive à un mail de phishing pour que l’entreprise soit mise en danger. En informant concrètement les employés sur les cyberattaques qui surviennent après un phishing, on va faire baisser ce risque de manière notable.
73 % des entreprises victimes d’une cyberattaque se font piéger par un phishing. Il fut un temps où les pirates informatiques visaient surtout les grosses entreprises. Ce n’est plus le cas aujourd’hui : les PME et TPE sont de plus en plus touchées par ce fléau. Or un phishing réussi peut se montrer fatal pour une PME. Il risque en effet d’aboutir à la divulgation de données sensibles, au blocage du système informatique de l’entreprise, et surtout à des pertes financières très importantes qui peuvent mener jusqu’à la faillite.
Un logiciel de cybersécurité performant bloque un certain nombre de mails frauduleux. Cependant, il lui est très difficile d'identifier un mail de phishing élaboré, ou envoyé depuis une adresse mail piratée.
En effet, le hameçonnage ne fait pas appel à des techniques informatiques pour s’introduire dans le système et accéder aux données sensibles, il s’appuie sur le facteur humain, en jouant sur des ressorts psychologiques connus : la peur ou le désir de bien faire, par exemple, qui incitent à cliquer à communiquer ses données personnelles ou à télécharger une pièce jointe frauduleuse.
On parle de social engineering (ingénierie sociale). Aucun logiciel anti-malware ne peut donc remplacer une campagne de simulation au phishing.
Il existe sur le Web différents simulateurs de phishing personnalisables. Defender pour Office 365 propose aussi un module de création de campagne de phishing.
Autre possibilité : faire appel à une agence spécialisée. Ce n’est pas gratuit, mais vous obtiendrez une campagne adaptée à votre entreprise.
Une campagne de sensibilisation au phishing se déroule en trois étapes :
Avant de lancer une campagne de phishing par email, il est utile d’expliquer aux salariés cette technique de cybercriminalité. Ils pourront ainsi identifier plus facilement un email suspect et savoir comment réagir. Tous les collaborateurs de l’entreprise doivent notamment apprendre certains réflexes indispensables :
Un mail de campagne de phishing s’apparente à un vrai mail de phishing, qui lui-même ressemble à un mail tout à fait normal. Son objectif est d’inspirer confiance au destinataire pour qu’il clique sur le lien ou la pièce jointe.
Le message qui apparaît dans le mail revêt donc une grande importance. Pour inciter l’utilisateur à livrer des informations confidentielles, il peut utiliser plusieurs techniques :
Une fois le mail de phishing envoyé, on répertorie le nombre de personnes qui ont cliqué sur la pièce jointe compromise. On peut aussi savoir combien de personnes ont transmis des données personnelles en réponse au mail. De façon plus positive, on peut repérer le nombre de salariés à avoir signalé le mail suspect à leur Direction.
Pour qu’une campagne de hameçonnage soit réussie, elle doit être perçue comme un moyen d’améliorer la protection de l’entreprise, et non comme un test individuel de niveau. Il est donc important de faire connaître les résultats aux salariés de manière anonyme.
Si les résultats ne sont pas bons, on peut proposer une formation en cybersécurité à tout ou partie des employés. Il est aussi efficace de programmer une ou plusieurs nouvelles campagnes de hameçonnage, pour vérifier l’acquisition des bons réflexes.
Autres bonnes pratiques de cybersécurité à suivre :
La plupart des tentatives de phishing d’entreprises passent par les mails. Mais il existe de plus en plus de phishing par SMS et par téléphone : on parle de smishing et de vishing. Cependant ces types de piratage concernent pour l’instant davantage les particuliers.
Sources :