Connexion
Eine Person liest eine simulierte Phishing-Mail auf ihrem Laptop.

Simulations de phishing

Les simulations de phishing consistent à envoyer des messages imitant des attaques de phishing pour entraîner les employés à repérer ce type de menaces et à s’en protéger. Elles renforcent la vigilance des employés, permettent d’identifier d’éventuelles vulnérabilités et d’entretenir une culture résiliente.

13 mai 2024 · 18 min de lecture

Qu’est-ce qu’une simulation de phishing ?

Imaginez qu’un entraîneur de football veuille tester les qualités défensives de son équipe pour contrer les tirs de pénalty. Il pourrait faire des discours sans fin sur la stratégie à mettre en place, mais la méthode la plus efficace consiste à les mettre en situation en simulant un pénalty. Cette approche concrète permettra à l’entraîneur de savoir si son équipe est prête à assurer une bonne défense en conditions réelles et quels sont les points qui peuvent être améliorés.

Les simulations de phishing suivent le même schéma, en l’appliquant au domaine de la cybersécurité. Le service informatique de l’entreprise envoie aux employés des e-mails qui ressemblent à des tentatives de phishing et reprennent les stratégies habituelles des hackers, en demandant, par exemple, des informations sensibles ou en invitant les destinataires à télécharger une pièce jointe corrompue.

L’objectif de cet exercice n’est pas de jeter le blâme sur les membres de l’équipe qui tombent dans le piège, mais de mettre le doigt sur d’éventuelles vulnérabilités pour y remédier. Personne n’ira causer de problème à celles et ceux qui ont cliqué sur les liens contenus dans la simulation. Bien au contraire, ces collaboratrices et collaborateurs seront les premiers à bénéficier d’une formation adaptée. Dans la continuité de la simulation, les employés peuvent avoir accès à des ressources pédagogiques supplémentaires qui pointent du doigt les signes qui doivent les alerter.

La simulation de phishing est donc un test pratique pour apprendre à repérer les tentatives de phishing. Son but est d’évaluer le degré de sensibilisation à la cybersécurité au sein de votre entreprise et de l’améliorer en préparant les équipes à l’éventualité d’une attaque réelle. Étudions plus en détail ces simulations, leur mode de fonctionnement et les méthodes pour les utiliser efficacement afin de renforcer les défenses de votre structure.

Écran d’un ordinateur portable montrant une fenêtre de navigateur ouverte avec différents éléments d’interface tels que des boutons et des curseurs. À gauche de l’écran, un élément abstrait ressemblant à un panneau de contrôle ou à des paramètres. À droite, une icône représentant un bouclier vert avec un curseur de souris qui clique dessus indiquant un bouton d’alerte phishing.

Comment fonctionnent les simulations de phishing ?

Les simulations de phishing sont un excellent exercice pour mettre en pratique ce qui a été appris au cours de la formation de sensibilisation. Elles offrent un environnement sécurisé, sous contrôle, pour évaluer la capacité des employés à détecter les menaces qui leur parviennent par mail et à y réagir correctement. Voyons comment elles fonctionnent :

  • Planification et objectifs : tout commence par une planification minutieuse. L’équipe de sécurité informatique définit les objectifs et la portée de la simulation : le nombre d’employés à cibler, le niveau de difficulté et le type de scénarios.
  • Ciblage : le service informatique ou l’équipe de sécurité sélectionne les employés qui recevront la simulation sur la base de critères prédéfinis ou de façon aléatoire.
  • Suivi des réponses : l’équipe de sécurité informatique assure un suivi attentif des réactions du personnel aux e-mails de simulation. Ils tiennent un décompte du nombre de personnes ayant cliqué sur les liens, ouvert les pièces jointes et saisi des informations. Ces données sont essentielles pour bien évaluer la vulnérabilité de l’entreprise aux tentatives de phishing.
  • Pédagogie et feed-back : après la simulation, les employés ayant interagi avec les e-mails envoyés ne sont pas pénalisés. Ils sont au contraire redirigés vers des ressources pédagogiques comme un module de formation ou des astuces pour détecter les signes annonciateurs du phishing. Ils reçoivent également un feed-back pour les aider à mieux repérer, à l’avenir, les e-mails malveillants.
  • Analyse et rapports : les équipes de sécurité informatique analysent les résultats de la simulation pour se faire une idée des tendances qui s’en dégagent, des points faibles et des employés qui pourraient avoir besoin d’une formation plus approfondie. Généralement, ils produisent un rapport détaillé pour informer la direction du niveau de cybersécurité actuel de l’entreprise.
  • Répétition et progression : les simulations de phishing doivent être répétées régulièrement pour assurer un suivi des progrès et renforcer la vigilance des collaborateurs. Il s’agit d’un processus récurrent, où chaque simulation développe un peu plus les capacités des employés à identifier les tentatives d’attaque et les prépare à l’étape suivante, tout en les sensibilisant aux menaces cyber émergentes.
Encadré présentant les principaux indicateurs utilisés dans le cadre de la simulation de phishing – taux de clic, taux d’interaction et taux de signalement – et expliquant leur signification.

À qui ces simulations de phishing peuvent-elles être bénéfiques ?

Les simulations de phishing sont un élément crucial de toute stratégie de cybersécurité. Il est donc recommandé d’y faire participer tout le personnel. Comme personne n’est à l’abri des menaces cyber, il est important que chacun puisse être préparé à cette éventualité.

Cependant, comme toutes les sociétés n’ont pas les mêmes besoins en matière de sensibilisation, il faut adapter le niveau de difficulté, la fréquence et les sujets des simulations de phishing pour qu’elles correspondent à l’entreprise. L’exercice n’en sera que plus efficace.

À quelle fréquence faut-il mener des simulations de phishing ?

L’année 2023 a montré que le phishing restait le premier vecteur de cyberattaques, car il intervient dans 41 % des cas. La vraie question n’est donc pas de savoir si vous devez organiser des simulations de phishing, mais à quelle fréquence.

La cadence idéale peut varier selon les moments, les besoins de votre entreprise ou le contexte dans lequel elle évolue. Vous devrez prendre en compte différents facteurs, tels que votre secteur d’activités, la maturité de votre cybersécurité et le paysage des menaces cyber. Il faut bien garder à l’esprit que des simulations trop fréquentes vont être une source de stress pour les employés et peuvent nuire à leur productivité. En revanche, si elles sont trop rares, elles risquent de ne pas être suffisamment efficaces pour préparer vos équipes aux véritables dangers.  

Il n’existe donc pas de réponse universelle à la question de la fréquence, mais beaucoup d’entreprises estiment que l’envoi d’un e-mail de simulation par mois est un bon compromis : ce rythme permet de contrer la courbe de l’oubli et d’ancrer la cybersécurité comme une préoccupation majeure dans l’esprit des collaborateurs, sans pour autant les solliciter à l’excès. Ils restent alors motivés et ont envie de participer.

Courbe de l’oubli d’Ebbinghaus

Si vous pensez qu’il est nécessaire de mener plus d’une simulation par mois, rien ne vous en empêche, mais n’allez pas au-delà de trois par mois pour éviter de surcharger vos collaborateurs. Ils risqueraient alors de se désengager du processus d’apprentissage.

N’oubliez pas qu’il faut du temps et de la flexibilité pour trouver le bon rythme. Vous devrez peut-être procéder à quelques ajustements. Suivez de près les réactions des employés et adaptez votre approche en fonction des besoins.

5 idées reçues sur les simulations de phishing

Les simulations de phishing ont gagné en efficacité et en sophistication au fil du temps. Elles permettent de mettre en place une défense solide et durable contre des menaces numériques qui évoluent constamment. Cette méthode ne fait cependant pas que des adeptes. De nombreux préjugés viennent encore freiner son utilisation. Il est temps de faire la lumière sur 5 idées reçues qui persistent sur les simulations de phishing et de rétablir la vérité à leur sujet.

Infographie présentant 5 idées reçues fréquentes sur les simulations de phishing telles que : elles génèrent de la méfiance et sèment le doute, elles rendent les employés plus vulnérables, elles surchargent de travail les employés et les équipes informatiques et elles ont pour objectif d’atteindre un taux de clics de 0 %.

Idée reçue no 1 : Les simulations de phishing génèrent de la méfiance et sèment le doute

On pense souvent, à tort, que les simulations de phishing alimentent un climat de méfiance au sein des équipes et sèment le doute dans les esprits. Pourtant, lorsqu’elles sont bien menées, elles peuvent être essentielles pour renforcer les réflexes d’auto-défense numérique. Loin de semer la panique, cet exercice inculque aux employés le sens de leurs responsabilités et les sensibilise aux questions de cybersécurité. Le secret de leur efficacité réside dans une communication ouverte et directe avec vos équipes. Si vous exposez en amont l’objectif recherché en incluant, de manière proactive, les collaborateurs dans le processus, ceux-ci auront davantage conscience d’avoir un rôle à jouer dans la protection de l’entreprise et comprendront l’intérêt de participer à de telles simulations.

Idée reçue no 2 : Les simulations de phishing rendent les employés plus vulnérables

On pense souvent que les employés confrontés à des simulations de phishing sont plus vulnérables aux menaces cyber. La réalité est tout autre : il a été prouvé qu’une formation continue et des exercices réguliers réduisaient considérablement les risques d’être pris au piège par une attaque de phishing. Les données recueillies sur notre plateforme montrent qu’après une simulation, le taux de clics baisse de 70 % et le taux d’interaction, de 80 %. D’autres études ont observé des tendances similaires : le Rapport sur la défense numérique de Microsoft, par exemple, révèle que les simulations diminuent la vulnérabilité des employés de 50 % par an.

Idée reçue no 3 : Les simulations de phishing surchargent l’emploi du temps des employés

C’est une préoccupation tout à fait légitime, en particulier dans le contexte actuel où le taux de burn-out au sein des équipes informatiques atteint des sommets. Les méthodes pédagogiques modernes comme le micro-apprentissage et la gamification apportent une solution efficace à ce problème. Le micro-apprentissage dispense des informations sous une forme brève, facile à assimiler qui évite la surinformation. La gamification, quant à elle, ajoute un côté ludique. Si la simulation intègre de tels éléments et propose, par exemple, des contenus pédagogiques brefs présentés au bon moment, les utilisateurs apprennent sans avoir à déployer beaucoup d’efforts. Ils reçoivent juste les informations dont ils ont besoin pour les encourager à poursuivre leur apprentissage.

Idée reçue no 4 : Les simulations de phishing donnent trop de travail aux équipes informatiques

C’est exactement le contraire qui se passe : les simulations efficaces s’accompagnent d’outils perfectionnés qui facilitent la tâche des équipes informatiques, par exemple des analyses intégrées et des boutons de signalement automatisé. Ces fonctionnalités aident les employés à détecter les e-mails suspects, dissipent les doutes éventuels et permettent aux équipes de sécurité informatique de concentrer leur attention sur les véritables menaces. En outre, cette approche garantit plus de fluidité dans les signalements et le suivi, et soulage ainsi les équipes informatiques de lourdes tâches administratives. Non seulement, la sécurité se trouve renforcée, mais la charge qui pèse sur l’équipe informatique est durablement allégée, tandis que les employés sont plus au fait des questions de cybersécurité et les abordent de façon proactive.

Idée reçue no 5 : Les simulations de phishing doivent garantir un taux de clics de 0 %

Un taux de clics de 0 % n’est pas une fin en soi. Brandir ce chiffre comme un objectif ultime peut amener les collaborateurs à se concentrer uniquement sur la simulation, au lieu de chercher à acquérir une compréhension plus large du phishing et de ses rouages. Le véritable but est d’installer une culture de la vigilance et de la résilience à large échelle au sein du personnel. Celui-ci doit apprendre à identifier les tentatives de phishing en situation réelle. Pour y parvenir, il est indispensable de trouver le bon équilibre entre des simulations ciblées avec un niveau de difficulté adapté et une formation personnalisée.

Les clés pour une simulation de phishing efficace

Pour dissiper ces idées reçues, il est essentiel de configurer avec soin les simulations de phishing. Il ne s’agit pas simplement d’éviter les écueils susceptibles de nuire à la résilience des employés ou de surcharger les équipes informatiques, mais aussi de mettre délibérément l’humain en première ligne. L’intégration de principes inspirés de la psychologie et des sciences comportementales dans les simulations de phishing en décuple l’efficacité tout en tenant compte des besoins propres à chaque équipe. Vous trouverez ci-dessous quelques stratégies simples qui vous aideront à inclure ces principes dans vos simulations :

  • Préférez une communication claire à l’effet de surprise : en annonçant vos projets à l’avance, vous évitez toute confusion et insufflez à vos collaborateurs l’envie de participer. Vous pouvez commencer à répandre la nouvelle quelques semaines avant le début de la simulation, par exemple, en envoyant un mail groupé à toute l’entreprise ou même, en présentant cet exercice sous la forme d’une compétition amicale entre collègues. Expliquez, par exemple, quelles sont les raisons qui vous poussent à organiser cette simulation, ce qui attend les employés, à quel moment la campagne commencera (sans donner de date précise), comment fonctionne la simulation et qui il faut contacter en cas de questions.
  • Préférez la formation à la répression : Si vous traquez les moindres gestes de vos employés pour leur faire des reproches, vous les freinerez dans leur désir de mettre à profit la simulation de phishing pour progresser. L’idéal est de leur proposer de participer à cet exercice de manière anonyme pour que personne ne se sente surveillé et que chacun s’implique à son rythme. Les données collectées ne devraient servir qu’à améliorer l’expérience d’apprentissage et non à pointer du doigt celles et ceux qui ont des comportements à risque. Elles peuvent aider à mettre en place une démarche de renforcement positif et à proposer du contenu de formation sur mesure.
  • Préférez la pédagogie à la critique : votre rôle ne consiste pas uniquement à envoyer des e-mails de simulation de phishing. L’objectif est avant tout d’apprendre à vos employés comment bien réagir face à ce type de messages. Lorsque certains d’entre eux cliquent sur un e-mail de simulation, il faut les rediriger immédiatement vers des ressources qui leur permettront de comprendre leur erreur. C’est, en effet, le meilleur moment pour graver cet enseignement dans leur mémoire. Vos collaborateurs seront alors encouragés à être plus vigilants à l’avenir et sauront faire de meilleurs choix.
  • Préférez les messages personnalisés aux envois groupés : il est essentiel d’adapter la simulation de phishing aux besoins de vos employés. Si elle est trop simple, les participants se désintéresseront de l’exercice. Si elle est trop difficile, ils risquent de se décourager. Il faut donc trouver le bon équilibre. Pour ce faire, l’idéal est d’alterner les campagnes faciles à repérer avec des e-mails un peu plus subtils, en les personnalisant en fonction du destinataire. La règle d’or est de concevoir une simulation réaliste et efficace sur le plan pédagogique.
Citation de Juliane Mroz, Senior Social Engineer Designer chez SoSafe, qui dit : « Les e-mails envoyés dans le cadre des simulations doivent paraître aussi convaincants que les véritables campagnes menées par les cybercriminels, avec cette différence importante qu’ils doivent chercher à avoir un maximum d’impact pédagogique tout en respectant les principes éthiques. Les hackers, eux, n’ont qu’un seul et unique but : inciter les gens à cliquer sur leur lien. »

Pour exploiter pleinement le potentiel des simulations de phishing, il convient de les aborder sous plusieurs angles. Au-delà de ces stratégies, il faut aussi envisager d’autres aspects : assurer la conformité au RGPD et mettre en œuvre des plans efficaces d’intervention en cas d’incident, par exemple. Pour en savoir plus sur ces tactiques et sur d’autres plus évoluées encore, découvrez notre guide sur les bonnes pratiques en simulation de phishing.

Bonnes pratiques en
simulation de phishing

Lire le rapport

Apprenez à créer des simulations de phishing sur mesure pour votre entreprise

Combler les vides : que faire entre les simulations de phishing ?

Les campagnes de simulation de phishing doivent être régulières pour que la cybersécurité reste la préoccupation numéro 1. Elles contribueront ainsi à bâtir une solide culture de la sécurité. Il peut cependant arriver qu’il s’écoule un certain temps entre les différentes campagnes de phishing. Ces moments offrent aux sociétés l’occasion de booster leur cybersécurité autrement et d’inciter à une plus grande vigilance. Il est important de ne pas considérer ces interruptions comme des temps morts, mais de les mettre à profit pour évaluer, éduquer et former. Voici ce que vous pouvez faire entre les campagnes :

  • Identifier les vulnérabilités : étudiez les rapports générés lors des simulations de phishing pour savoir où vous en êtes en matière de cybersécurité. Si vous remarquez un taux de clics particulièrement élevé au sein d’un service, cherchez quelle en est la cause et personnalisez la formation dispensée en conséquence. Adaptez votre stratégie de défense en fonction des points faibles que vous avez identifiés en sélectionnant des modules de formation ciblés qui consolideront les connaissances de votre équipe.
  • Prenez en main la situation : les formations de base couvrent des principes généraux de prévention, mais il est aussi essentiel de remédier aux vulnérabilités propres à votre entreprise ou d’accorder plus d’attention à certains services entre les simulations. Menez régulièrement des campagnes ciblant les points faibles de votre équipe pour visualiser sa progression et vous assurer que les simulations de phishing vont dans le même sens que la formation continue.
  • Entretenez un état d’esprit vigilant : tenez votre équipe au courant des dernières tactiques en matière de phishing. Utilisez des fonctionnalités intégrées dans MS Teams, comme Sofie Rapid Awareness, pour diffuser rapidement des informations et des actualités au sein de l’entreprise.
  • Encouragez les échanges ouverts : créez des forums en interne où vos employés pourront partager leurs expériences en matière de phishing, qu’il s’agisse de véritables mails ou de simulations. Instaurez une culture d’entreprise qui encourage le signalement d’e-mails suspects et où chacun se sent libre d’exprimer ses préoccupations en matière de sécurité.
  • Récompensez les bons gestes et les progrès réalisés : félicitez les groupes ou les services qui ont réalisé les meilleures performances lors de votre dernière campagne de phishing. Décernez un titre de champion de la cybersécurité dans chaque service pour mettre à l’honneur des personnes qui sont passionnées par le sujet, qui ont envie d’améliorer le niveau de l’entreprise en la matière et proposent de nouvelles idées. Le reste du service continuera ainsi à faire des progrès, dans leur sillage.
  • Assurez-vous le soutien de la direction : pensez à nommer aussi un champion de la cybersécurité parmi les cadres dirigeants. C’est lui qui attirera l’attention sur vos efforts de sensibilisation, veillera à ce que vous disposiez des ressources nécessaires, établira une chaîne de responsabilité bien définie entre les cadres et les employés.

En prenant de telles mesures stratégiques entre les simulations de phishing, vous pouvez augmenter de manière significative votre réactivité en cas de réelle menace cyber. Profitez de ce temps pour parfaire vos stratégies défensives, pour tirer des leçons des expériences passées et veillez à ce que votre personnel reste bien informé, motivé et apte à contrer efficacement les attaques de phishing.

Comment SoSafe peut vous aider à renforcer votre résilience grâce aux simulations de phishing

Les simulations de phishing ne sont pas de simples tests, mais une véritable formule magique qui transforme votre équipe en ardents défenseurs de la sécurité numérique. Pour améliorer la cybersécurité à tous les échelons de votre société, il est essentiel d’adopter une approche holistique qui associe des connaissances théoriques à un entraînement pratique.

Parce qu’elle aborde le sujet complexe du phishing et des cyberattaques similaires sous la forme de modules brefs et faciles à assimiler, notre offre de micro-apprentissage motive les apprenants et évite toute surcharge d’information. La gamification ajoute une touche ludique à nos méthodes de formation et favorise l’assiduité des utilisateurs sans les submerger de travail. Nous avons aussi récemment lancé une nouvelle fonctionnalité, la formation personnalisée, pour veiller à ce que chaque collaborateur n’apprenne que ce qui lui servira vraiment.

Les simulations de phishing de SoSafe viennent compléter le processus de formation en mettant à la disposition des employés un environnement sécurisé où ils pourront appliquer ce qu’ils ont appris dans les différents modules. C’est, en quelque sorte, un espace pour s’entraîner à comprendre, repérer et neutraliser les tentatives de phishing sans se mettre en danger. L’objectif n’est pas seulement d’emmagasiner des connaissances sur les signes qui permettent de reconnaître une tentative de phishing, mais aussi et surtout d’assimiler ces informations pour sécuriser les comportements en ligne au quotidien.

Que se passe-t-il lorsque les collaborateurs ont repéré des e-mails de simulation… ou même de véritables menaces ? Pour protéger votre entreprise et limiter les risques, il faut réagir rapidement. C’est tout l’intérêt de notre bouton d’alerte phishing : il offre un moyen simple pour permettre aux employés de signaler des menaces. Le processus s’en trouve simplifié et les utilisateurs sont accompagnés par notre fonctionnalité PhishAssist qui les aide à prendre de meilleures décisions. Ces outils filtrent automatiquement les e-mails envoyés dans le cadre de la simulation pour alléger la charge de travail du service informatique.

Enfin et surtout, le bouton d’alerte phishing permet de recueillir des données précieuses sur le taux de signalement dans votre entreprise qui, recoupées à deux autres mesures importantes – le taux de clics sur les simulations et le taux d’interaction – contribuent à fournir une vue d’ensemble complète du niveau de cybersécurité au sein de votre société. Ces informations sont prises en compte dans le score comportemental qui quantifie les risques cyber auxquels est exposée votre entreprise pour favoriser l’élaboration d’une stratégie de défense plus ciblée et plus efficace.  

Cette démarche pédagogique sur le long terme est votre meilleure protection contre les vagues de cyberattaques incessantes et les menaces en perpétuelle évolution qui caractérisent notre contexte actuel. Chaque simulation renforce la résilience de vos équipes et la prépare à protéger votre société des prochaines tentatives de piratage.