Imaginez un moment : nous sommes à quelques jours de la fin du mois. Il va bientôt falloir payer les salaires. Vos employé·e·s ont, de leur côté, de nombreuses factures à régler, et comptent sur le versement de leur rémunération en temps et en heure pour gérer leurs finances. Soudain, ils reçoivent un e-mail intitulé « Erreur de la comptabilité lors du versement de votre salaire ». Inquiets, ils ouvrent l’e-mail et apprennent, à la lecture de celui-ci, qu’ils doivent immédiatement mettre à jour leurs coordonnées bancaires en cliquant sur le lien fourni, faute de quoi, ils ne seront pas payés.
Dans la vie réelle, cette situation pourrait avoir de graves conséquences, paralysant l’équipe de sécurité et nuisant aux finances et à la réputation de votre entreprise. En revanche, s’il s’agit d’une campagne de simulation de phishing, elle pourrait fort bien être une précieuse occasion d’apprendre et de se former. En exposant vos employé·e·s à de tels scénarios, dans un environnement contrôlé, à faibles risques, vous pouvez leur apprendre à détecter ce type de menaces et à y réagir à bon escient.
Contrairement à ce que l’on pourrait croire, l’époque des attaques de phishing n’est pas encore révolue. Quels que soient les progrès réalisés par la technologie, cette forme de manipulation continue d’avoir cours et de jouer sur la psychologie humaine. Les études menées dans le cadre de notre Analyse du risque humain 2024 le confirment : le phishing reste la technique la plus utilisée dans les cyberattaques qui réussissent et 51 % des responsables de la sécurité indiquent que leur société a été la cible d’e-mails malveillants.
Pour que les campagnes de phishing aient un maximum d’impact, il faut qu’elles soient soigneusement préparées. Certains points, tels que la communication en amont avec le personnel ou une planification adaptée, peuvent avoir une grande incidence sur leur efficacité. Dans cet article, nous vous expliquons comment mener une campagne de phishing réussie en quelques étapes.
Étape 1 : Planifiez votre stratégie de simulation de phishing
Une campagne de simulation de phishing réussie commence par une planification minutieuse. L’équipe de sécurité informatique doit, tout d’abord, définir les objectifs et la portée de la simulation : le nombre d’employés à cibler, le niveau de difficulté et le type de scénarios.
Si c’est une première pour vous, il vaut mieux commencer simplement et attendre de voir comment vos collaboratrices et collaborateurs réagissent à la première simulation. Si vous avez déjà organisé ce type de campagne, vous pouvez commencer à varier les stratégies en fonction du groupe d’utilisateurs : par exemple, selon qu’il s’agit de nouvelles recrues ou d’employé·e·s de longue date, ou en fonction des différents services de l’entreprise.
Pour définir une bonne stratégie, adaptée à vos besoins, posez-vous quelques questions avant de passer à l’étape suivante :
- Quels sont les objectifs de cette campagne de phishing ? Généralement, les objectifs sont de former les employé·e·s, d’évaluer la vulnérabilité et de s’assurer que l’entreprise est conforme aux réglementations en vigueur.
- Quels types d’e-mails sont utilisés pour cibler votre secteur ? Vous pourrez vous en inspirer pour choisir les scénarios de vos simulations. Pour que la formation reste efficace et d’actualité, il est important que vos campagnes de phishing reflètent les tactiques les plus récentes utilisées par les cybercriminels.
- Quelles sont les connaissances de base de votre personnel ? Il faut veiller à ce que vos simulations ne soient ni trop faciles, ni trop difficiles. Adaptez-les en fonction du niveau de sensibilisation de votre société. Lorsque celui-ci augmente, il est essentiel de varier les difficultés afin que les employé·e·s restent motivé·e·s par les nouveaux défis qui leur sont proposés.
- Avec quels formats de fichiers vos employé·e·s ont-ils l’habitude de travailler ? Identifiez les types de fichiers avec lesquels vos équipes travaillent le plus fréquemment (PDF, Word ou Excel, par exemple) pour pouvoir les réutiliser dans des simulations de phishing qui imitent au mieux les attaques réelles.
- Certains services sont-ils plus ciblés que d’autres ? Si oui, posez-vous la question de savoir si ces services sont la cible d’une forme précise de hameçonnage et configurez votre simulation sur le même modèle.
- À quelle fréquence faut-il envoyer des e-mails de simulation de phishing ? Des e-mails réguliers permettent de maintenir la vigilance au maximum. Nous aborderons ce sujet en détail un peu plus loin.
Une fois que vous avez défini les principaux points de votre stratégie, il est temps de s’atteler à l’élaboration de votre campagne.
Étape 2 : Élaborez votre campagne de simulation de phishing
Il s’agit maintenant de préparer les modèles d’e-mails que vous allez envoyer et d’automatiser les processus au maximum, de l’envoi des e-mails à l’intégration de nouveaux utilisateurs dans la campagne, en passant par l’ajout de données dans le tableau de bord analytique. Vous pouvez même automatiser la rédaction des e-mails si vous ne souhaitez pas les écrire intégralement vous-même. Certains fournisseurs proposent un certain nombre de modèles pour les simulations de phishing que vous pouvez ensuite adapter aux besoins et aux vulnérabilités de votre entreprise. Car, pour que la formation soit le plus efficace possible, il est important de la personnaliser au maximum. C’est dans cette optique que SoSafe a développé deux approches différentes qui dépassent les simples modèles de phishing pour exploiter tout l’impact de la personnalisation en créant des simulations à la fois efficaces et attrayantes : le phishing ciblé et le phishing basé sur le comportement.
- Phishing ciblé : l’une des stratégies les plus efficaces consiste à adapter les e-mails aux fonctions exercées par l’utilisatrice ou l’utilisateur. Par exemple, le service financier est susceptible d’être davantage ciblé par des tentatives de phishing liées au traitement des factures, tandis que les équipes informatiques verront plus certainement passer des e-mails relatifs à des mises à jour de système. Personnaliser, c’est la clé. En envoyant des e-mails de phishing qui coïncident avec les responsabilités et les vulnérabilités de chaque employé·e, vous veillez à ce que vos simulations trouvent un écho auprès des différents groupes d’utilisateurs. La sensibilisation des collaborateurs et collaboratrices aux menaces qui les concernent personnellement contribue également à assurer la conformité de l’entreprise aux réglementations en vigueur en matière de formation à la sécurité.
- Phishing basé sur le comportement : cette approche consiste à adapter le niveau de difficulté, le sujet et la fréquence des e-mails de phishing au comportement de l’utilisatrice ou de l’utilisateur et à son profil de risque. Particulièrement sophistiquée, elle est recommandée aux responsables de la sécurité informatique ayant déjà de l’expérience, à la fois avec les simulations de phishing basiques et avec celles plus ciblées, et qui souhaitent renforcer encore la protection au sein de leurs effectifs.
Dans une campagne de phishing, vous pouvez avoir recours à l’automatisation à différents niveaux : pour rédiger vos e-mails à l’aide de modèles ou de l’IA générative, mais aussi pour intégrer rapidement les nouvelles et nouveaux employé·e·s dans les simulations ou même pour planifier l’envoi des messages à différents moments et varier ainsi la fréquence. Plus celle-ci est aléatoire, plus la simulation est proche de la réalité en reproduisant le caractère imprévisible des véritables attaques. L’exercice n’en est que plus efficace. Les collaboratrices et collaborateurs ne peuvent pas anticiper la réception des e-mails et sont alors mieux préparé·e·s aux menaces réelles.
Vous pouvez également automatiser le suivi de la campagne de façon à obtenir des analyses détaillées sur les réactions de vos équipes aux tentatives de phishing, comme nous le suggérons à l’étape 5.
Étape 3 : Informez les employé·e·s avant le lancement de la campagne
Une fois que vous avez créé vos modèles et automatisé au maximum les processus, faites part de vos projets au personnel. Il est essentiel de les prévenir au lieu de les prendre par surprise. Vous éviterez ainsi de semer la confusion et susciterez un élan de motivation chez vos collaboratrices et collaborateurs, leur donnant envie de participer. Il vaut mieux commencer à annoncer la nouvelle quelques semaines avant de démarrer la simulation, par exemple en envoyant un e-mail à tous les membres de l’entreprise ou par le biais d’une communication de la direction lors d’une All Hands meeting.
Veillez à donner un certain nombre de détails aux employé·e·s, en indiquant notamment ce qui vous motive à lancer une telle campagne, comment elle va se dérouler et quand elle va commencer, sans pour autant dévoiler la date exacte. Précisez bien qu’il ne s’agit pas d’un contrôle et apaisez les éventuelles craintes en assurant qu’il n’y aura pas de conséquences négatives si quelqu’un clique sur un lien dans un e-mail. N’oubliez pas d’expliquer comment fonctionne la simulation et qui il faut contacter en cas de questions.
Étape 4 : Lancez votre campagne et commencez à sensibiliser vos employé·e·s
Ça y est ! Le moment est venu de lancer votre campagne et de découvrir les réactions de vos équipes. Pour que les simulations de phishing ne soient pas de simples tests, mais prennent une dimension pédagogique, il est indispensable qu’elles transmettent des enseignements et des compétences.
Proposer du contenu pédagogique aux apprenant·e·s qui se sont trompé·e·s n’est pas une option : c’est une nécessité si l’on veut qu’ils acquièrent de bons réflexes de sécurité. Lorsqu’une utilisatrice ou un utilisateur clique sur le lien contenu dans un e-mail de simulation, il faut qu’il ou elle soit immédiatement renvoyé·e vers des ressources pédagogiques, telles que des supports de formation ou des conseils pour apprendre à détecter les principales caractéristiques d’un e-mail de phishing. En lui faisant comprendre son erreur en temps réel, ce procédé décuple l’efficacité et l’impact de la formation. Pour optimiser au maximum la portée de l’exercice, il est également essentiel de faire le point avec vos équipes pour que personne n’ait honte de se tromper, comprenant que c’est là une occasion de progresser.
Découvrez comment la société de vente au détail Freudenberg a obtenu des taux de clics record, grâce à SoSafe
Il ne faut toutefois pas se contenter d’envoyer des commentaires aux collaboratrices et collaborateurs lorsqu’ils se trompent. Il est tout aussi essentiel de récompenser et d’encourager les bons comportements, une technique que les sciences comportementales ont appelée le renforcement positif : un tel climat favorise, en effet, l’apprentissage et alimente la motivation de vos équipes.
Pour pouvoir instaurer des mesures de renforcement positif, il est indispensable de donner aux employé·e·s les moyens de signaler les menaces qu’ils détectent, qu’elles soient réelles ou qu’il s’agisse de simulations. Il faut donc leur fournir le bon environnement et des outils de signalement adaptés. Vous pouvez, par exemple, mettre à leur disposition un élément d’interface comme le bouton d’alerte phishing de SoSafe, une solution simple et rapide qui s’intègre facilement dans votre service de messagerie.
À chaque e-mail signalé, la personne reçoit une réponse qui lui indique s’il s’agissait vraiment d’une alerte ou non. Ce système de feedback proposé par SoSafe illustre parfaitement comment intégrer le renforcement positif dans votre stratégie de campagne de phishing. Les employé·e·s reçoivent systématiquement un message précisant si l’e-mail signalé s’inscrivait dans le cadre d’une simulation, s’il s’agissait d’une véritable attaque ou d’un courrier inoffensif. Ils peuvent ainsi apprendre de leurs interactions et progresser, tout en se sentant utiles à la protection de leur entreprise.
Ces outils permettent de signaler rapidement et simplement les messages suspects, mais aussi de collecter des données sur le comportement des utilisateurs pour savoir, par exemple, quels sont les services qui sont les plus prompts à faire remonter les menaces. En les aidant à rester vigilants et en mettant à leur disposition des méthodes simples pour vous alerter en cas d’attaque, ils incitent aussi vos collaboratrices et collaborateurs à agir dans le prolongement de votre équipe de sécurité pour mieux protéger l’entreprise.
Étape 5 : Mesurez et analysez
L’évaluation et l’interprétation des résultats obtenus par votre simulation de phishing sont deux nécessités incontournables si vous souhaitez tirer le meilleur parti de votre campagne. Vous allez maintenant chercher à identifier les tendances, les vulnérabilités et les marges d’amélioration possible afin d’être en mesure de concevoir, avec le temps, des campagnes de plus en plus efficaces.
Il existe de nombreux indicateurs qui, tous, ont leur intérêt, mais nous vous conseillons de commencer par analyser les taux d’interaction, de clic et de signalement, ainsi que le délai de signalement. Ces éléments vous permettront de mieux cerner les comportements de vos employé·e·s en présence d’e-mails de phishing et d’évaluer dans quelle mesure ils parviennent ou non à les repérer. Muni·e de ces précieuses informations, vous pourrez évaluer en profondeur le niveau de cybersécurité de votre entreprise et identifier les éventuelles lacunes de vos employé·e·s en la matière. Mais vous pouvez aller plus loin encore : vous pouvez trier ces taux par situation géographique, par poste dans l’entreprise, ou par fonction pour identifier les niveaux de risque correspondants et tenter de comprendre quels sont les déclencheurs émotionnels ou les objets de mails qui génèrent le plus de clics. Vous pouvez également les classer en fonction des différents contextes ou indicateurs de culture. Ces informations vous permettent de vous concentrer sur les lacunes existantes en proposant des contenus de formation personnalisés, au lieu de contraindre les employé·e·s à repasser l’intégralité des modules.
Ces données ne servent cependant pas seulement à booster l’efficacité de vos simulations. Elles apportent aussi des preuves concrètes de l’efficacité de la formation que vous pouvez présenter lors de vos échanges avec la direction et le conseil d’administration de votre société : vous obtiendrez ainsi un plus grand soutien de leur part, mais aussi le budget nécessaire pour remédier aux éventuelles carences en matière de sensibilisation.
Étape 6 : Recommencez et améliorez le processus
C’est l’étape finale : suivre les progrès réalisés par les membres du personnel et les sensibiliser de plus en plus aux questions de cybersécurité. Les simulations de phishing doivent être répétées à intervalles réguliers. Chaque nouvelle campagne fera ainsi progresser vos équipes et les aidera à repérer de mieux en mieux les menaces. En mettant à jour les supports de formation et les ressources utilisés, vous pouvez également utiliser cet exercice pour sensibiliser les employé·e·s aux cybermenaces émergentes.
N’oubliez pas de perfectionner au fur et à mesure vos simulations en y intégrant les commentaires des utilisatrices et utilisateurs et les enseignements tirés des données de performance : c’est le secret pour en améliorer l’efficacité ! Si vos équipes vous signalent, par exemple, qu’elles ont trouvé l’exercice trop facile ou trop difficile, tenez-en compte. Ou si les données de performance montrent que les collaborateurs et collaboratrices réussissent haut la main, c’est signe qu’il est temps d’augmenter le niveau de difficulté. Le moment est venu pour vous de passer en revue toutes les données et tous les retours dont vous disposez pour préparer la prochaine simulation en vous basant sur les besoins et le niveau de sensibilisation de vos employé·e·s pour en optimiser l’efficacité. Avec les informations recueillies dans le cadre d’une première campagne, vous allez pouvoir décider de la marche à suivre pour organiser des campagnes plus ciblées, en sachant sur quels groupes d’utilisateurs vous devez vous concentrer en priorité.
Quelle est la fréquence idéale pour les simulations de phishing?
Le choix de la fréquence d’envoi pour les e-mails de simulation est un processus dynamique : il doit être adapté en fonction des circonstances et des besoins de votre société. Vous devez toujours prendre en compte un certain nombre de facteurs importants tels que votre secteur, votre niveau de sensibilisation à la cybersécurité, le paysage actuel des menaces, etc.
Vous aurez peut-être envie de vous lancer à corps perdu dans les simulations de phishing en croyant que, plus vous en faites souvent, plus vos collaboratrices et collaborateurs progresseront rapidement. Malheureusement, loin de mieux protéger votre entreprise, des campagnes trop fréquentes peuvent générer beaucoup de stress et nuire à la productivité. A contrario, pécher par excès de prudence en n’envoyant les simulations de phishing que très rarement, c’est risquer de mal préparer les employé·e·s aux véritables tentatives de piratage.
Il n’y a pas de solution toute faite, mais beaucoup d’entreprises estiment que l’envoi d’un e-mail par mois est un bon équilibre. Ce rythme mensuel évite que les utilisatrices et utilisateurs n’oublient les leçons fraîchement apprises et leur permet de garder à l’esprit les questions de cybersécurité. Quoi qu’il en soit, ne les submergez pas de simulations. Vous conserverez ainsi toute leur attention et favoriserez une participation active.
Dans l’idéal, vous devriez toujours avoir une campagne de simulation « sur le feu » et l’ajuster, au cas par cas, aux besoins de chaque utilisatrice ou utilisateur, selon une approche basée sur le comportement. Ainsi, si vos employé·e·s sont peu sensibilisés aux risques de phishing, il peut être utile de leur envoyer plus d’un e-mail par mois. En revanche, si vos effectifs sont déjà bien familiarisés avec ces questions, une cadence mensuelle peut s’avérer appropriée.
Comment veiller à ce que les collaborateurs et collaboratrices continuent à se former entre les simulations de phishing
L’intervalle entre les e-mails de simulation – et même entre les différentes campagnes – offre une excellente occasion pour renforcer vos mesures de cybersécurité et promouvoir une culture d’entreprise plus vigilante. Voici ce que vous pouvez faire, entre deux envois, pour améliorer l’efficacité de vos simulations de phishing :
- Collectez des données : étudiez attentivement vos rapports de simulations de phishing pour mieux comprendre où en est votre entreprise en matière de cybersécurité. Supposez, par exemple, que l’équipe marketing présente le taux de clics le plus fort sur un type d’e-mail spécifique. Comment pouvez-vous adapter la formation pour les aider à mieux détecter cette menace et à s’en prémunir dans la prochaine campagne, ou même dans celle qui est en cours ?
- Favorisez le partage d’expériences : donnez l’occasion aux un·e·s et aux autres d’échanger leurs expériences ou leurs remarques concernant les tentatives de phishing en créant des forums dédiés en interne. Vous cultiverez ainsi un environnement qui encourage activement à signaler les e-mails suspects ou les incidents, et où chacun·e se sent libre d’exprimer ses préoccupations en matière de sécurité, sans avoir à craindre d’éventuelles conséquences.
- Renforcez les connaissances dans les domaines à haut risque : si vous remarquez que vos employé·e·s ont besoin de faire des progrès dans certains domaines ou manquent de connaissances sur des points précis, profitez des intervalles entre les simulations pour leur envoyer de petits rappels pédagogiques qui combleront leurs lacunes. Les outils d’IA, comme le copilote Sofie de SoSafe, sont très pratiques pour envoyer de rapides alertes à tous vos employé·e·s, soulageant ainsi vos équipes de sécurité d’une charge de travail supplémentaire tout en offrant une méthode de sensibilisation extrêmement efficace.
- Sensibilisez en continu : informez systématiquement vos équipes des dernières techniques et méthodes de phishing développées par les cybercriminels, afin d’assurer une protection durable. Dans cette optique, il est particulièrement efficace d’envoyer de brèves notifications aux employé·e·s, pour les informer sans prendre trop de temps sur leur journée de travail. Avec un chatbot conversationnel d’IA dédié à la cybersécurité, comme Sofie, les équipes reçoivent non seulement des alertes, mais peuvent aussi converser en toute simplicité avec l’outil pour obtenir des précisions sur telle ou telle question de sécurité. Tout est ainsi mis en œuvre pour favoriser une culture proactive de la cybersécurité au sein de l’entreprise.
Comment SoSafe peut vous aider à mener des campagnes de phishing efficaces
Les simulations de phishing sont des outils puissants, capables de transformer votre équipe en fervents défenseurs contre les cyberattaques. L’une des étapes les plus importantes pour la conception de votre campagne de phishing consiste à l’adapter au maximum aux besoins spécifiques de votre entreprise et de son personnel.
C’est la raison pour laquelle SoSafe propose des simulations axées sur l’utilisateur et augmentées à l’IA, que vous pourrez mettre en place simplement et rapidement. Les e-mails ciblés s’adaptent aux besoins des employé·e·s, selon leur poste et leur profil de risque. Les e-mails basés sur le comportement sont, quant à eux, adaptés au comportement en ligne de l’utilisatrice ou de l’utilisateur et visent à combler efficacement des lacunes existantes. La simulation de phishing offre ainsi un environnement sécurisé où chacun·e peut apprendre à identifier et à neutraliser les tentatives de hameçonnage, grâce à une formation adaptée à son profil, qui ne lui prend pas inutilement le temps nécessaire à ses tâches quotidiennes.
Cet exercice est complété par des pages de formation contextualisées qui s’affichent lorsque l’apprenant·e clique sur les e-mails de simulation, ainsi que par un feedback immédiat lorsqu’elle ou il signale un e-mail suspect. Dans l’idéal, il convient d’inscrire ces campagnes dans un concept de formation global qui transmet aux employé·e·s toutes les connaissances dont elles ou ils ont besoin. Ils seront ainsi mieux à même de les appliquer dans le cadre des simulations et pourront assimiler les points qui ne sont pas encore acquis. La formation en ligne de SoSafe met à votre disposition une bibliothèque de contenus soigneusement élaborés et dispense ces enseignements aux employé·e·s sous la forme de micro-modules narratifs qui s’intègrent parfaitement dans leur emploi du temps quotidien. L’objectif est non seulement d’apprendre aux équipes à reconnaître les tentatives de phishing, mais aussi de leur permettre de traduire ces connaissances en bons réflexes de sécurité.
Les menaces de phishing ne sont pas près de disparaître. Les cybercriminels savent bien qu’en plus d’être extrêmement rentables, elles sont d’une efficacité redoutable. Face à ces attaques qui continuent à faire des dégâts, il est essentiel de renforcer nos défenses et de nous protéger contre le phishing. Pour découvrir comment SoSafe peut former votre équipe pour la rendre plus résiliente, demandez une démo avec l’un·e de nos expert·e·s.