Campagnes de sensibilisation au phishing : pourquoi est-ce si crucial ?

La sensibilisation au phishing est essentielle pour lutter contre cette menace qui représente la principale forme d’attaque ciblant les PME. Organiser une campagne de sensibilisation au phishing peut jouer un rôle crucial dans la protection de votre entreprise contre ce risque cyber. Découvrez pourquoi et comment mettre en place une telle campagne.

Table des matières

Qu’est-ce qu’une campagne de phishing ?

Une campagne de sensibilisation au phishing consiste à envoyer de faux e-mails aux employés d’une entreprise, les incitant à divulguer des informations confidentielles ou à télécharger des pièces jointes. En analysant combien d’employés ont cliqué sur les liens ou téléchargé les pièces jointes, vous pouvez évaluer la vulnérabilité de votre entreprise face aux dangers du phishing. L’objectif est de sensibiliser les salariés à cette technique de piratage de plus en plus répandue en entreprise, afin qu’ils adoptent les bons réflexes en cas de réception d’un e-mail suspect. Cela fait partie des bonnes pratiques de cybersécurité à mettre en place pour préserver la santé numérique de votre entreprise.

Quels employés inclure dans une campagne d’hameçonnage ?

Tous les collaborateurs de l’entreprise, y compris la direction et les managers, doivent être impliqués dans une campagne de sensibilisation au phishing. Les pirates informatiques développent désormais des formes de phishing personnalisées, ciblant spécifiquement les salariés à responsabilité.

Combien de temps dure une campagne de phishing ?

Idéalement, une campagne de phishing devrait se renouveler régulièrement, comme un entraînement continu face au risque cyber. Vous pouvez l’étaler sur plusieurs mois, en envoyant un e-mail de test par semaine, par mois, ou par trimestre.

Pourquoi faire une campagne de phishing ?

Une campagne de sensibilisation au phishing en entreprise vise à prévenir les cyberattaques par hameçonnage. Il suffit en effet qu’une seule personne soit réceptive à un e-mail de phishing pour que toute l’entreprise soit mise en danger. En informant concrètement les employés sur les cyberattaques qui suivent un phishing, vous réduisez considérablement ce risque.

Le phishing représente une grave menace pour les PME

Selon les statistiques, 73 % des entreprises victimes de cyberattaques ont été piégées par le phishing. Les PME et les TPE sont de plus en plus touchées par ce fléau. Or, un seul phishing réussi peut avoir des conséquences dramatiques pour une PME. Il peut entraîner la divulgation de données sensibles, le blocage du système informatique et des pertes financières telles qu’elles peuvent mener à la faillite.

Il n’existe pas de logiciel anti-phishing totalement efficace

Même si un logiciel de cybersécurité performant bloque un certain nombre d’e-mails frauduleux, il est très difficile pour lui d’identifier un e-mail de phishing sophistiqué ou envoyé depuis une adresse mail piratée. Le phishing ne repose pas sur des techniques informatiques pour infiltrer les systèmes et accéder aux données sensibles, mais plutôt sur l’ingénierie sociale en exploitant les ressorts psychologiques connus, comme la peur ou le désir de bien faire. Aucun logiciel anti-malware ne peut donc remplacer une campagne de simulation au phishing.

L’organisation d’une campagne de sensibilisation au phishing en entreprise

Plusieurs options s’offrent à vous pour organiser une campagne de sensibilisation au phishing. Vous pouvez utiliser des simulateurs de phishing personnalisables disponibles sur le Web. Defender pour Office 365 propose également un module de création de campagnes de phishing. Si vous préférez, vous pouvez faire appel à une agence spécialisée, bien que cela ne soit pas gratuit, vous obtiendrez une campagne adaptée à votre entreprise.

Une campagne de sensibilisation au phishing se déroule en trois étapes :

Étape 1 : Annoncer la campagne de phishing

Avant de lancer une campagne de phishing par e-mail, il est essentiel d’expliquer aux salariés cette technique de cybercriminalité. Ils pourront ainsi identifier plus facilement un e-mail suspect et sauront comment réagir. Tous les collaborateurs de l’entreprise doivent notamment apprendre certains réflexes indispensables :

Ne jamais ouvrir une pièce jointe si l’expéditeur est inconnu ou inhabituel.
Ne pas ouvrir une facture en pièce jointe si elle n’est pas au format PDF.
Éviter de cliquer sur un lien internet présent dans un e-mail. Préférez entrer directement l’adresse dans le moteur de recherche.
Se méfier des e-mails demandant une action urgente, même s’ils semblent provenir d’un supérieur hiérarchique.
En cas de doute sur l’expéditeur, contacter la personne par téléphone pour vérifier l’authenticité de l’e-mail. Il est même préférable de vérifier l’information auprès de deux personnes différentes, car certains cybercriminels peuvent imiter la voix d’une personne en particulier.

Étape 2 : Préparer un e-mail de sensibilisation au phishing efficace

Un e-mail de campagne de phishing ressemble à un vrai e-mail de phishing, qui lui-même ressemble à un e-mail tout à fait normal. Son objectif est de gagner la confiance du destinataire afin qu’il clique sur le lien ou la pièce jointe. Le contenu de l’e-mail revêt donc une grande importance. Pour inciter l’utilisateur à divulguer des informations confidentielles, plusieurs techniques peuvent être utilisées :

Présenter un faux dysfonctionnement, comme l’expiration d’un mot de passe ou une mise à jour nécessaire. La campagne de phishing peut ainsi imiter l’apparence de Google pour tenter de voler des identifiants et des mots de passe en demandant leur renouvellement.
Demander une information de nature professionnelle, telle qu’un suivi de livraison, un suivi de virement bancaire ou un formulaire à remplir.
Utiliser des éléments de la vie personnelle du salarié, comme un faux e-mail de la banque, de la mutuelle ou de l’entreprise elle-même. Par exemple, une entreprise a réalisé une campagne de phishing avec un e-mail annonçant un changement de dates de congé annuel. Les résultats ont été édifiants : 39 % des salariés ont transmis leurs identifiants personnels.

Étape 3 : Suivre les résultats de la campagne et l’améliorer

Une fois l’e-mail de phishing envoyé, vous pouvez enregistrer le nombre de personnes ayant cliqué sur la pièce jointe compromise. Vous pouvez également savoir combien de personnes ont divulgué des informations personnelles en réponse à l’e-mail. De manière plus positive, vous pouvez identifier les salariés ayant signalé l’e-mail suspect à la direction.

Pour qu’une campagne de phishing soit réussie, elle doit être perçue comme un moyen d’améliorer la protection de l’entreprise, et non comme un test individuel. Il est donc important de communiquer anonymement les résultats aux salariés.

Si les résultats ne sont pas satisfaisants, vous pouvez proposer une formation en cybersécurité à l’ensemble ou à une partie des employés. Il est également efficace de planifier une ou plusieurs nouvelles campagnes de phishing pour vérifier l’acquisition des bons réflexes.

Voici d’autres bonnes pratiques de cybersécurité à suivre :

Mettre en place des sauvegardes régulières et sécurisées.
Configurer correctement les serveurs informatiques.
Réaliser un inventaire de votre surface d’attaque.
Mettre en place une politique de mots de passe robustes.
Utiliser l’authentification multifacteur (MFA).
Établir un plan de continuité d’activité (PCA).
Effectuer régulièrement les mises à jour des logiciels.

Est-ce qu’une campagne de phishing se fait toujours par e-mail ?

La plupart des tentatives de phishing en entreprise se font par e-mail. Cependant, il existe de plus en plus de cas de phishing par SMS et par téléphone, connus sous les termes de smishing et de vishing. Ces méthodes de piratage concernent principalement les particuliers pour le moment.

[Image: Image Source]

Sources :

DOCUMENT