StoïkBlogCybersécurité

Campagnes de sensibilisation au phishing : pourquoi est-ce si important ?

Marie-Bé Sabourin
Dernière mise à jour :

Le phishing, ou hameçonnage, représente le premier vecteur d’attaque chez les PME. Pour s’en prémunir, rien ne vaut l’organisation d’une campagne de sensibilisation au phishing. Elle peut jouer un rôle important pour protéger l’entreprise de ce risque cyber. Pourquoi et comment faire une campagne de phishing ? Les réponses se trouvent dans cet article.

campagne phishing

Qu’est-ce qu’une campagne de phishing ?

Par définition, une campagne de sensibilisation au phishing consiste à envoyer un faux mail aux employés d’une entreprise qui va les inciter à transmettre des informations confidentielles ou à télécharger une pièce jointe.

En analysant le nombre de collaborateurs qui ont cliqué sur le lien hypertexte ou téléchargé la pièce jointe, il est possible d’évaluer la vulnérabilité de l’entreprise face aux dangers que représente la technique du phishing.

L’idée est de sensibiliser les salariés à cette technique de piratage, la plus répandue actuellement en entreprise, afin qu’ils adoptent les bons réflexes en cas de réception d’un mail douteux. Cela fait partie des bonnes pratiques de cybersécurité en entreprise qu'il est judicieux de mettre en place pour prouver sa bonne hygiène cyber.

Organisez une campagne de phishing
Stoïk propose des campagnes de sensibilisation au phishing à destination des entreprises.
Participer

Quels employés inclure dans une campagne d’hameçonnage ?

Tous les collaborateurs de l’entreprise doivent être impliqués dans une campagne de sensibilisation au phishing, y compris le management et la direction. En effet, les pirates informatiques développent de plus en plus des formes de phishing personnalisées (on parle de spear phishing ou harponnage), qui ciblent les salariés à responsabilité.

Bon à savoir
En cas de phishing réussi, l’attaquant peut accéder aux comptes bancaires, au système informatique, ou encore aux données sensibles de l’entreprise.

Combien de temps dure une campagne de phishing ?

Idéalement, une campagne de phishing se renouvelle à plusieurs reprises : c’est une sorte d’entraînement régulier au risque cyber. On peut l’étaler sur plusieurs mois, au rythme d’un mail de test par semaine, par mois ou par trimestre.

Pourquoi faire une campagne de phishing ?

Une campagne de sensibilisation au phishing en entreprise vise à prévenir les cyberattaques par hameçonnage. Il suffit en effet d’une seule personne réceptive à un mail de phishing pour que l’entreprise soit mise en danger. En informant concrètement les employés sur les cyberattaques qui surviennent après un phishing, on va faire baisser ce risque de manière notable.

Le phishing représente une grave menace pour les PME

73 % des entreprises victimes d’une cyberattaque se font piéger par un phishing. Il fut un temps où les pirates informatiques visaient surtout les grosses entreprises. Ce n’est plus le cas aujourd’hui : les PME et TPE sont de plus en plus touchées par ce fléau. Or un phishing réussi peut se montrer fatal pour une PME. Il risque en effet d’aboutir à la divulgation de données sensibles, au blocage du système informatique de l’entreprise, et surtout à des pertes financières très importantes qui peuvent mener jusqu’à la faillite.

Il n’existe pas de logiciel anti-phishing totalement efficace

Un logiciel de cybersécurité performant bloque un certain nombre de mails frauduleux. Cependant, il lui est très difficile d'identifier un mail de phishing élaboré, ou envoyé depuis une adresse mail piratée.

En effet, le hameçonnage ne fait pas appel à des techniques informatiques pour s’introduire dans le système et accéder aux données sensibles, il s’appuie sur le facteur humain, en jouant sur des ressorts psychologiques connus : la peur ou le désir de bien faire, par exemple, qui incitent à cliquer à communiquer ses données personnelles ou à télécharger une pièce jointe frauduleuse.

On parle de social engineering (ingénierie sociale). Aucun logiciel anti-malware ne peut donc remplacer une campagne de simulation au phishing.

social engineering phishing

L’organisation d’une campagne de de sensibilisation au phishing en entreprise

Il existe sur le Web différents simulateurs de phishing personnalisables. Defender pour Office 365 propose aussi un module de création de campagne de phishing. Autre possibilité : faire appel à une agence spécialisée. Ce n’est pas gratuit mais vous obtiendrez une campagne adaptée à votre entreprise.

Une campagne de sensibilisation au phishing se déroule en trois étapes :

  1. Étape 1 : la sensibilisation et l’information des salariés sur les différentes techniques d’hameçonnage.
  2. Étape 2 : l’envoi d’un mail de phishing factice aux employés de l’entreprise.
  3. Étape 3 : l’étude des résultats. Le mail ou sa pièce jointe ont-ils été ouverts, le lien hypertexte a-t-il été cliqué, le destinataire a-t-il ou non communiqué des données confidentielles (identifiant et mot de passe par exemple) ?
Sensibilisez vos collaborateurs au phishing
Stoïk met en place des campagnes de sensibilisation au phishing pour réduire votre risque cyber.
Se renseigner

Étape 1 : Annoncer la campagne de phishing

Avant de lancer une campagne de phishing par email, il est utile d’expliquer aux salariés cette technique de cybercriminalité. Ils pourront ainsi identifier plus facilement un email suspect et savoir comment réagir. Tous les collaborateurs de l’entreprise doivent notamment apprendre certains réflexes indispensables :

  • Ne jamais ouvrir une pièce jointe si l’expéditeur du mail est inconnu ou s’il n’est pas un contact habituel.
  • Ne pas ouvrir une facture en pièce jointe si elle n’est pas en .pdf
  • Si un mail renvoie à un lien internet, éviter de cliquer sur le lien. Au besoin, aller sur le site concerné directement depuis le moteur de recherche.
  • Se méfier d’un mail requérant une action urgente, même s’il vient d’un supérieur : virement bancaire, ou confirmation de données par exemple.
  • En cas de doute sur l’expéditeur, prendre contact par téléphone avec la personne concernée pour vérifier qu’elle est bien à l’origine du message. Il vaut même parfois mieux vérifier l’information avec deux personnes différentes : certains cybercriminels parviennent en effet à reproduire la voix d’une personne donnée.

Étape 2 : Préparer un mail de sensibilisation au phishing efficace

Un mail de campagne de phishing s’apparente à un vrai mail de phishing, qui lui-même ressemble à un mail tout à fait normal. Son objectif est d’inspirer confiance au destinataire pour qu’il clique sur le lien ou la pièce jointe.

Le message qui apparaît dans le mail revêt donc une grande importance. Pour inciter l’utilisateur à livrer des informations confidentielles, il peut utiliser plusieurs techniques :

  • Alerter sur un faux dysfonctionnement : mot de passe expiré par exemple, ou mise à jour à réaliser. La campagne de phishing peut ainsi imiter l’apparence de Google pour tenter d’usurper identifiants et mots de passe en demandant de renouveler son mot de passe.
  • Demander une information de type professionnel : suivi de livraison, suivi de virement bancaire, formulaire à remplir, etc.
  • Utiliser des éléments de la vie personnelle du salarié : faux mail de la banque, de la mutuelle ou de l’entreprise elle-même. Par exemple, une entreprise a lancé une campagne de phishing avec un mail annonçant un changement de dates de congé annuels. Le résultat s’est montré édifiant : 39 % des salariés ont transmis leurs identifiants personnels.

Étape 3 : Suivre les résultats de la campagne et les améliorer

Une fois le mail de phishing envoyé, on répertorie le nombre de personnes qui ont cliqué sur la pièce jointe compromise. On peut aussi savoir combien de personnes ont transmis des données personnelles en réponse au mail. De façon plus positive, on peut repérer le nombre de salariés à avoir signalé le mail suspect à leur Direction.

Pour qu’une campagne de hameçonnage soit réussie, elle doit être perçue comme un moyen d’améliorer la protection de l’entreprise, et non comme un test individuel de niveau. Il est donc important de faire connaître les résultats aux salariés de manière anonyme.

Si les résultats ne sont pas bons, on peut proposer une formation en cybersécurité à tout ou partie des employés. Il est aussi efficace de programmer une ou plusieurs nouvelles campagnes de hameçonnage, pour vérifier l’acquisition des bons réflexes.

Autres bonnes pratiques de cybersécurité à suivre :

Foire aux questions

Est-ce qu’une campagne de phishing se fait toujours par email ?

La plupart des tentatives de phishing d’entreprises passent par les mails. Mais il existe de plus en plus de phishing par SMS et par téléphone : on parle de smishing et de vishing. Cependant ces types de piratage concernent pour l’instant davantage les particuliers.

Sources :