juillet 2024

Comment réaliser une simulation de phishing ultra-réaliste en 6 étapes, et les 5 erreurs à éviter

Benjamin Netter
Benjamin Netter
CEO

« Oui, ce sera dans l’interro. »

Quand on entendait ces mots à l’école, il était temps d'écouter. C’est la même chose pour les formations de sensibilisation à la cybersécurité : testez les participants en fin de formation les incite à écouter davantage les conseils et bonnes pratiques pour éviter les cyberattaques.

D’où l’intérêt des simulations de phishing ; votre équipe repart avec des éléments concrets pour réduire la vulnérabilité de votre organisation aux cyberattaques et travailler en sécurité. Mais que faut-il pour réussir une simulation de phishing et par quoi commencer ?

On vous a concocté ce guide en six étapes pour réaliser une simulation de phishing ultra-réaliste. Sans oublier les cinq erreurs courantes à éviter pour tester vos collaborateurs.

Mais d’abord, un petit rappel des principes de base.

Qu'est-ce qu'une simulation de phishing et à quoi ça sert ?

Le phishing est l’art de se faire passer pour une personne ou une entreprise à travers des emails, SMS ou autres plateformes de messagerie, pour inciter une victime à partager des informations sensibles, à télécharger des malwares ou à transférer de l'argent.

Ces attaques sont l'une des cybermenaces les plus répandues avec environ 3,4 milliards de mails de phishing envoyés chaque jour. En fin de compte 91 % des cyberattaques réussies commencent par une tentative de phishing. Et le pire dans tout ça, c’est que les attaques de phishing réussies coûtent en moyenne 4,91 millions de dollars aux entreprises (arrêts d’activité, perte de chiffre d’affaires et atteinte à l’image de marque).

Heureusement, nos filtres anti-spam sont devenus très efficaces pour détecter les tentatives de phishing. Ces emails arrivent rarement jusque dans nos boîtes de réception. Aussi est-il important d'apprendre à votre équipe à bien reconnaître les tentatives de phishing qui parviennent jusqu'à eux, et comment ils doivent réagir.

C'est là qu'interviennent les simulations de phishing.

Simulation de phishing

En vous donnant les moyens de simuler de vraies attaques, les plateformes de simulation vous permettent d'évaluer le niveau de vulnérabilité de vos collaborateurs. Ils peuvent alors se familiariser avec les différentes techniques utilisées et améliorer leurs bonnes pratiques de cyberhygiène. Le tout, sans aucun risque !

Comment créer une campagne de simulation de phishing qui sensibilise vraiment votre équipe ? Voici les six étapes clés :

  1. Définissez clairement vos objectifs
  2. Lancez une campagne de phishing très simple
  3. Adaptez le scénario aux différents segments de public
  4. Exploitez les résultats à travers un plan de formation adapté à chaque collaborateur
  5. Proposez une formation après la simulation que les gens apprécieront vraiment
  6. Gardez votre équipe mobilisée avec des simulations de phishing en continu.

« Assez d'étapes, passons à la pratique ! » Démarrer en quelques clics. 🎣

#1 : Définissez clairement les objectifs de votre simulation

Avant de créer votre simulation de phishing, posez-vous la question suivante : qu'attendez-vous de cette expérience ? Bien sûr, chaque simulation réduit votre exposition aux cyberattaques, mais le fait de définir des objectifs précis vous aidera à mettre sur pied la meilleure campagne possible pour votre équipe.

Si vous êtes au milieu d’une formation de sensibilisation, vous voudrez sans doute évaluer son efficacité sur l’auditoire. Vous pourrez aussi définir un taux de vulnérabilité de référence pour aider la direction à investir dans la bonne formation.

Voici trois questions importantes à se poser :

  • L’auditoire : qui est la cible de votre campagne de test ? Des opérateurs, des dirigeants, ou tout ce petit monde à la fois ? Gardez à l'esprit que les hackers peuvent s'attaquer à n'importe quelle personne de l'entreprise. Il peut être judicieux de commencer avec un public large.
  • Le résultat souhaité : augmenter le taux de signalement de phishing, identifier quelles équipes sont les plus vulnérables, ou encore tester des faiblesses spécifiques telles que la vulnérabilité aux malwares. Ces réponses vous aiguilleront dans le choix du scénario et du niveau de difficulté.
  • L’accroche : existe-t-il des techniques d'ingénierie sociale que les hackers pourraient utiliser pour vous cibler en ce moment même ? Par exemple, si vous faites l'objet d'une acquisition rendue publique, ils pourraient se rapprocher de vos collaborateurs en leur présentant une liste erronée de postes à restructurer. Vous pourriez imiter ce scénario pour montrer aux gens le genre d’escroqueries qu’ils sont susceptibles de rencontrer.

Vous avez à présent toutes les cartes en main pour concevoir une campagne de simulation réussie. C’est parti !

Pour en savoir plus : La sensibilisation à la cybersécurité permet de gérer les risques et d'améliorer votre ROI

#2 : Lancez une campagne de phishing très simple

Vos objectifs étant confirmés, vous pouvez maintenant lancer votre première campagne de phishing. Dans un premier temps, commencez par quelque chose de simple pour obtenir de premiers résultats et guider les futures campagnes. Cela vous permettra déjà de sensibiliser votre équipe aux menaces les plus courantes.

En plus de confirmer votre stratégie (public visé, résultat souhaité, choix de l'accroche d'ingénierie sociale), attardez-vous sur les points suivants:

  • Les différents scénarios : une plateforme de simulation de phishing doit proposer plusieurs scénarios possibles, des leads Salesforce factices à des connexions Gmail usurpées, en passant par des portails pour voter pour le futur logo de l'entreprise. Quel template allez-vous utiliser et comment allez-vous le personnaliser pour piéger vos collaborateurs ?
  • Le timing : mieux vaut envoyer votre première campagne simultanément à tous les destinataires. De cette manière, ils n’auront pas le temps de se prévenir les uns les autres. En revanche, vous pouvez échelonner les prochaines campagnes pour surprendre les gens en dehors des heures de bureau.
  • La sensibilisation : en quoi votre campagne de test complètera votre sensibilisation à la cybersécurité ? Sur la base du taux de complétion de vos cours, y a-t-il des types de phishing en particulier que vous souhaitez mettre en pratique ?

Après avoir éclairci ces différents points, vous voilà prêt à lancer votre première campagne !

Simulation de phishing

Avec Riot, vous pouvez automatiser ces étapes et lancer une première campagne à fort impact en seulement quelques minutes. Allez piocher directement dans nos templates de phishing puis sélectionnez votre "groupe intelligent", une fonction qui facilite la segmentation de l'audience et la mesure de vulnérabilité. En outre, le bouton "phishing reporter" sert aux apprenants à signaler les emails tests, ce qui crée du feedback pour votre formation de sensibilisation.

#3 : Adaptez le scénario aux différents segments de public

Une fois votre première campagne de phishing terminée, vous avez des données de référence et un aperçu de la manière dont vos équipes appliquent les règles de cyberhygiène. Vous savez qui sont vos atouts, et qui a besoin de formation supplémentaire.

Mais votre travail ne s’arrête pas là, vous devez maintenant faire preuve de créativité et de ruse.

Mettez-vous dans la peau du meilleur hacker du monde. Comment s’attaquerait-il à votre équipe ? En envoyant un email marketing factice pour la promotion d'un influenceur, en se présentant comme un membre du service compta qui les alerte sur un impayé, ou la version classique : une fausse liste de révisions salariales du personnel ?

Vous pouvez cibler des groupes particuliers ; les nouveaux arrivants via un faux portail d'accueil ou les cadres récemment promus avec une fausse invitation à une réunion sur la stratégie managériale. Vous pouvez également suivre les dernières actus en matière de cybersécurité pour connaître les tendances du moment.

Quel que soit votre choix, le but est d’armer vos apprenants face aux attaques par phishing qu'ils pourraient rencontrer dans la vraie vie.

Pour ce qui est du calendrier, vous pouvez échelonner ces campagnes afin qu'elles soient envoyées en dehors des heures de travail habituelles des salariés, en particulier s’ils travaillent dans des fuseaux horaires différents. Encore une fois la plateforme de simulation de phishing de Riot est un outil clé en main pour organiser ces évènements de façon simple et rapide grâce à des centaines de templates personnalisables.

#4 : Exploitez les résultats à travers un plan de formation adapté à chaque collaborateur

Vous avez maintenant de la matière pour définir un plan d’accompagnement propre à chaque salarié. Il reste à en définir la forme. Comment renforcer leurs connaissances dans le temps pour que votre équipe gagne globalement en maturité face aux attaques de phishing ?

Définissez des critères de vulnérabilité, que vous mettrez à jour en fonction des résultats obtenus lors des différentes campagnes. Assurez-vous notamment de suivre ces indicateurs clés de cybersécurité :

  • Le pourcentage de personnes qui cliquent sur des liens
  • Le pourcentage de personnes qui ouvrent des pièces jointes
  • Le pourcentage de personnes qui partagent des identifiants de connexion

Ces KPI devraient alimenter votre stratégie de cybersécurité et vos futures formations de sensibilisation. Par exemple, si vos collaborateurs ont tendance à partager un peu trop facilement leurs identifiants, sans doute est-il judicieux d’investir dans un gestionnaire de mots de passe.

Simulation de phishing

Dernier point, et pas des moindres : pensez à féliciter les personnes qui ont réussi à identifier des tentatives de phishing. Les encouragements et la reconnaissance contribuent largement à instaurer une culture de la cybersécurité.

#5 : Proposez une formation après la simulation que les gens apprécieront vraiment

Aujourd’hui, la plupart des gens n'attendent pas grand-chose des formations en cybersécurité. C’est donc le moment de les surprendre. Après une simulation de phishing, organisez une formation à la cybersécurité qu'ils ne sont pas prêts d’oublier.

Grâce aux premiers résultats, vous avez maintenant suffisamment d’infos pour proposer une formation complémentaire sur les risques et la conduite à tenir en cas de tentatives de phishing. Allez à l’essentiel, tout le monde court après le temps : créez un format dynamique et accrocheur. Vous cherchez un support de formation captivant pour transmettre les points essentiels en quelques minutes ? Jetez un œil à nos cours interactifs basés sur des histoires.

Simulation de phishing

Cette formation complémentaire est essentielle pour laisser une chance à toute personne ayant échoué à une simulation de s'améliorer. Seule, la simulation de phishing peut avoir un impact négatif sur le moral de l'équipe et même conduire les gens à se désintéresser du sujet. Il est donc capital de « boucler la boucle » et d’aider les gens à s'améliorer.

Si vous cherchez encore un support de formation à la cybersécurité digne de votre équipe, n'hésitez pas à nous contacter.

#6 : Gardez votre équipe mobilisée avec des simulations de phishing en continu

Enfin, n'oublions pas que les hackers sont impitoyables. En ce moment même, ils travaillent avec acharnement à trouver de nouveaux moyens de piéger votre équipe et d'accéder à vos données sensibles, vos identifiants de connexion et votre argent. Soyez aussi durs avec vos simulations.

Maintenant que vous avez lancé votre première série de simulations de phishing et que vous avez transformé vos résultats en plan d'action, il est temps de pérenniser la démarche.

En menant des campagnes de phishing continues, vous renforcerez la capacité de votre équipe à identifier et à faire face aux vraies attaques par phishing. Vous devriez voir vos indicateurs clés évoluer dans le bon sens, et de moins en moins de personnes qui se font avoir.

Besoin de plus de conseils sur ce qui constitue une bonne simulation ? Obtenez notre checklist gratuite 🎣

Simulation de phishing
5 Conseils pour une simulation de phishing réussie

5 erreurs courantes à éviter lors de votre simulation de phishing

Les simulations de phishing peuvent être délicates à organiser, car il faut jongler avec beaucoup de facteurs pour les rendre intéressantes.

Maintenant que vous savez ce qu’il faut faire, on vous parle de ce qu’il ne faut justement pas faire :

  1. Ne pas effectuer de simulations dans le vide : les simulations de phishing sont un excellent outil de sensibilisation, encore faut-il prendre la peine de les débriefer ensuite. Sans quoi il vous manque la moitié du puzzle. Prévoyez la formation dont vos collaborateurs ont besoin pour savoir réagir en cas de tentatives de phishing et autres cyberattaques.
  2. Ne laissez pas vos simulations devenir prévisibles : les hackers utilisent rarement deux fois la même tactique, vous devriez faire pareil. Gardez votre équipe sur le qui-vive en organisant des simulations à des moments différents, avec des techniques d’ingénierie sociale et des templates qui évoluent.
  3. Ne cassez pas le moral de l'équipe : les simulations sont importantes, mais pas au point de risquer de provoquer de la colère ou du ressentiment. Si les primes sont un sujet sensible, ne les utilisez pas comme appât dans votre scénario, surtout si les gens sont sous pression. De la même façon, ne laissez pas les gens paniquer s'ils ont échoué à un test, dites-leur immédiatement qu'il s’agissait d’un entrainement.
  4. N'excluez pas les dirigeants : les dirigeants et les cadres détiennent souvent les clés de certains de vos actifs et informations les plus précieux, ce qui en fait des cibles de premier choix pour les attaques par phishing. Veillez à les inclure dans vos simulations (il est rassurant de les voir se faire piéger aussi).
  5. Ne réalisez pas les simulations à la main : quel que soit le nombre de campagnes que vous menez, vos simulations de phishing ne devraient pas vous prendre plus de quelques heures chaque semaine. Vous pouvez gagner du temps en investissant dans le bon outil d'automatisation.

Une bonne simulation de phishing ne devrait pas être difficile à lancer

Vous avez lu notre guide en six étapes et vous êtes prêt à créer des simulations de phishing assez rusées pour tromper vos collègues les plus vigilants. Félicitations !

Vous avez un plan d'action pour mettre en place votre premier test, l'adapter au fil de l’eau et exploiter les résultats pour accompagner au mieux vos collaborateurs. Que reste-t-il à faire ? Choisir une plateforme de simulation intelligente pour faire du phishing le plus simplement possible.

Inscrivez-vous dès maintenant à une simulation gratuite avec Riot, et testez votre équipe avec des simulations de phishing ultra réalistes en seulement quelques minutes.