Comment former vos collaborateurs au vishing sans les appeler sur leur téléphone

Repérer le vishing serait plus simple si l’interlocuteur demandait directement les « codes d’accès au coffre-fort », non ? Les vrais appels sont généralement plus ordinaires que cela : « confirmez cette connexion », « aidez-moi à réinitialiser mon accès », « gardons cela entre nous pour l’instant ». La plupart des gens essaient d’aider, car le travail repose sur la coopération ; les cybercriminels savent comment en tirer parti.

Le rapport État des lieux de l’ingénierie sociale 2025 indique que 38 % des responsables interrogés ont observé des attaques par vishing dans leur organisation l’an dernier, tandis que les tentatives de clonage vocal ont presque doublé, passant de 16 % en 2024 à 30 % en 2025.

Une note du service de recherche du Parlement européen indique que 70 % des adultes ne sont pas certains de pouvoir distinguer une voix clonée d’une voix réelle.

L’usurpation d’identité vocale devient également plus facile à déployer à grande échelle. Les attaquants n’ont plus besoin d’une imitation parfaite ni d’une longue préparation manuelle pour chaque cible. Cette évolution change la nature du risque pour les équipes de sécurité, car le vishing passe d’appels rares et très ciblés à un mode d’attaque plus facile à reproduire.

Savoir ce qu’est le vishing ne prépare pas toujours les collaborateurs à l’appel lui-même. La politique de l’entreprise peut stipuler que les collaborateurs ne doivent jamais communiquer d’identifiants par téléphone. Ils doivent toutefois savoir reconnaître quand une demande apparemment ordinaire va trop loin.

L’e-mail donne aux personnes et aux outils de sécurité davantage d’éléments à examiner : les informations sur l’expéditeur, les liens, les pièces jointes, la formulation, ou encore la possibilité de relire le message. Un appel téléphonique supprime la plupart de ces éléments, car le collaborateur écoute et répond en temps réel.

Les simulations de vishing traditionnelles peuvent elles aussi être difficiles à déployer. De nombreuses organisations ne disposent pas des numéros de téléphone de tous leurs collaborateurs. Les appareils personnels soulèvent des questions de confidentialité et d’autorisation. Quant aux tests fondés sur un appel téléphonique, l’occasion d’apprendre peut aussi être perdue si la personne raccroche ou ne fait jamais le lien entre l’expérience et la formation.

Alors, comment préparer les collaborateurs à ce type d’appel sans les appeler sur leur téléphone ? Voici comment mettre en place un exercice de vishing sans que cela devienne un projet de collecte et de gestion de numéros de téléphone.

Étape 1 : Former les équipes qui font déjà confiance à la communication vocale

La formation au vishing est plus efficace lorsqu’elle commence par les équipes qui utilisent déjà les appels dans le cadre de leur travail.

Les équipes d’assistance en ligne gèrent les réinitialisations de mot de passe, les problèmes d’authentification multifacteur, les accès VPN et les questions relatives aux comptes. Les équipes finance s’occupent des vérifications de paiement. Les équipes RH travaillent avec des données personnelles.. Les équipes terrain, les responsables de magasin, le personnel logistique et les équipes d’accueil s’appuient souvent sur le téléphone, car leur travail ne se fait pas toujours depuis un bureau.

Pour ces équipes, l’appel téléphonique fait déjà partie de leur flux de travail.

Ce type d’appel fonctionne parce que le collaborateur a l’impression d’aider à accomplir une tâche normale. La formation au vishing doit l’aider à repérer le moment où cette tâche commence à exiger un niveau de confiance, d’accès ou d’information que l’interlocuteur ne devrait pas avoir à demander.

Le module interactif de vishing de SoSafe intègre cet entraînement dans le déroulement de la formation. Les apprenants comprennent d’abord comment fonctionne le vishing, puis participent à une simulation d’appel vocal dans le navigateur. Ils s’entraînent à gérer cette situation en toute sécurité, sans recevoir d’appel sur le téléphone d’un collaborateur.

Étape 2 : Donner aux collaborateurs un moyen de mettre fin à l’appel

La formation au vishing ne doit pas seulement apprendre aux collaborateurs à repérer les signaux d’alerte. Elle doit aussi les aider à s’exercer à la conduite à tenir lorsqu’un interlocuteur leur demande quelque chose de sensible.

Les collaborateurs ont besoin d’une action de repli claire. Si un interlocuteur leur demande des identifiants, un accès, des codes, des données personnelles ou une modification de procédure, ils doivent savoir comment interrompre l’échange et vérifier la demande. Cela peut consister à contrôler la demande par un canal de confiance, à suivre la procédure interne approuvée ou à mettre fin à l’appel.

La simulation d’appel dans le navigateur de SoSafe permet aux apprenants de s’exercer pendant que le contenu de la formation est encore frais dans leur esprit. L’interlocuteur peut ressembler à un membre du service informatique, à un fournisseur ou à une personne qui demande une aide urgente. Les apprenants s’entraînent à prendre du recul et à choisir une réponse plus sûre avant d’être confrontés à la situation réelle.

Si un apprenant fait un choix risqué pendant la simulation, le module peut le corriger immédiatement et lui expliquer comment agir différemment. L’erreur reste limitée à la formation, dans un contexte où elle peut réellement être utile.

Étape 3 : Éviter le blocage lié aux numéros de téléphone

Les simulations de vishing traditionnelles peuvent s’avérer difficiles à organiser avant même le début de la formation. Elles dépendent souvent des numéros de téléphone des collaborateurs, de l’infrastructure d’appel, de la planification, du consentement et de la gestion des personnes ciblées. Pour les équipes de sécurité qui gèrent déjà plusieurs priorités, cela peut suffire à ralentir toute l’initiative.

Une simulation dans le navigateur simplifie le déploiement. Les apprenants n’ont pas besoin de recevoir un appel sur un appareil personnel ou professionnel. L’interaction vocale se déroule dans le module, ce qui permet aux équipes de former les collaborateurs au bon comportement sans collecter leurs numéros de téléphone pour une campagne.

Cette approche est particulièrement utile pour les collaborateurs mobiles et sur le terrain. Même si leur travail repose sur des appels tout au long de la journée, ces profils comptent souvent parmi les les plus difficiles à inclure dans des tests par téléphone. Les exercices dans le navigateur leur offrent une répétition réaliste, sans ajouter de couche opérationnelle supplémentaire pour l’équipe chargée de les organiser.

Étape 4 : Rendre l’appel pertinent pour l’apprenant

Une formation générique au vishing peut facilement être ignorée. En effet, les collaborateurs peuvent juger un scénario peu réaliste : « Chez nous, cela ne se passerait pas comme ça. »

Les vrais attaquants adaptent leur prétexte à la personne qu’ils ciblent. L’appel ne sera pas le même pour une personne chargée des paiements, pour quelqu’un qui gère les accès aux comptes ou pour un collaborateur qui travaille loin de son bureau. Une bonne formation doit tenir compte de ces différences.

Avant le début de la simulation SoSafe, les apprenants ajoutent quelques informations de base afin que l’appel se rapproche davantage de leur contexte de travail. La configuration reste légère, mais elle donne à la simulation suffisamment d’éléments pour rendre la conversation plus pertinente.

Plus le scénario correspond à la réalité professionnelle d’un collaborateur, plus il devient difficile de l’ignorer.

Pour les équipes internationales, le réalisme passe aussi par la langue et l’accent. Un appel de vishing perd de son efficacité s’il semble manifestement étranger au contexte du collaborateur. . Plus la voix correspond à l’environnement de travail réel de la personne, plus l’exercice devient utile.

Étape 5 : Créer une expérience suffisamment sûre pour favoriser l’apprentissage

La formation au vishing ne doit jamais être perçue comme un piège. Si les collaborateurs se sentent gênés ou surveillés, le programme perd de sa crédibilité.

L’approche la plus sûre est de rendre l’expérience clairement pédagogique.. Dans le module SoSafe, les apprenants peuvent choisir de ne pas faire la simulation de vishing et passer directement au quiz. L’utilisation de l’IA est également clairement indiquée avant le début de l’appel.

L’expérience reste ainsi à sa juste place : dans un cadre d’entraînement, et non de sanction.

Cette approche permet aussi de résoudre un problème fréquent avec les tests de vishing autonomes. Dans une simulation en direct fondée sur un appel téléphonique, un collaborateur peut raccrocher avant de comprendre ce qui vient de se passer. L’occasion d’apprendre peut alors être perdue. Lorsque l’appel est intégré au module de formation, l’apprenant peut revenir sur l’expérience pendant qu’elle est encore fraîche dans son esprit.

Étape 6 : Développer les bons réflexes face aux appels

La partie la plus utile d’une simulation de vishing vient après l’appel, lorsque l’apprenant fait le lien entre ce qui vient de se passer et ce qu’il devra faire la prochaine fois.

La réflexion doit rester simple. Qu’a demandé l’interlocuteur ? La demande a-t-elle créé un sentiment d’urgence ? A-t-elle porté sur des identifiants, des droits d’accès, des données personnelles ou une procédure qui aurait dû passer par un autre canal ? L’apprenant vérifierait-il la demande différemment la prochaine fois ?

SoSafe réintègre l’appel dans le module et le quiz, afin que l’expérience ne reste pas une interaction ponctuelle. Le participant peut analyser l’appel pendant qu’il est encore frais dans sa mémoire et le relier au comportement plus sûr.

La réflexion doit aussi clarifier la prochaine étape interne. Si un appel suspect se produit réellement, les collaborateurs doivent savoir qui alerter, quelles informations consigner et à quel moment mettre fin à la conversation. La formation transforme ainsi la sensibilisation en réflexe de signalement.

Pour les responsables de la sécurité, c’est là que réside toute la valeur de cette approche : aider les collaborateurs à adopter une réponse que les mesures techniques de sécurité ne peuvent pas toujours assurer.