Qu’est-ce que la simulation de phishing ?

Le phishing est un véritable casse-tête pour les professionnels de la sécurité de l’information. Alors que les attaquants délaissent l’infrastructure pour cibler les personnes, les emails de phishing deviennent le principal vecteur d’ingénierie sociale. De plus, les types d’emails de phishing les plus courants, comme l’usurpation d’identité ou la compromission de messagerie professionnelle (BEC) et les ransomwares, rendent ce problème encore plus difficile à gérer pour les équipes de sécurité.

Pour lutter contre ces menaces, les entreprises se tournent de plus en plus vers les simulations de phishing comme mesure proactive pour accroître la sensibilisation et renforcer la posture de sécurité d’une organisation à son vecteur de menace le plus vulnérable : ses collaborateurs.

Le phishing est une forme courante de cyberattaque dans laquelle des acteurs malveillants tentent d’acquérir des données sensibles, telles que des identifiants de connexion ou des informations financières, en se faisant passer pour une entité de confiance dans des communications électroniques. Ce type d’ingénierie sociale exploite la psychologie humaine pour inciter les individus à divulguer des informations confidentielles.

Selon le rapport State of the Phish 2024 de Proofpoint, le comportement humain continue de poser des défis importants. Environ 71 % des adultes actifs reconnaissent avoir adopté des comportements à risque, et, fait remarquable, 96 % d’entre eux étaient conscients des dangers potentiels. Cela soulève des inquiétudes quant à la sensibilisation et aux pratiques utilisées pour lutter contre les nombreuses formes de phishing actuelles.

Il existe plusieurs formes courantes d’attaques de phishing, notamment :

• Phishing par email : La forme la plus fréquente, où les attaquants envoient des emails semblant provenir de sources légitimes comme des banques ou des services en ligne, incitant les destinataires à cliquer sur des liens malveillants ou à télécharger des pièces jointes dangereuses.
• Spear phishing : Une attaque très ciblée visant des individus ou organisations spécifiques. Les attaquants collectent des informations personnelles sur la victime pour rédiger un message convaincant et personnalisé.
• Vishing : Contraction de “voice phishing”, cela implique des appels téléphoniques où les attaquants se font passer pour des entités de confiance afin d’obtenir des informations sensibles.
• Smishing : Similaire au vishing, mais effectué via des messages SMS contenant souvent des liens vers des sites malveillants.
• Whaling : Une forme de spear phishing qui cible des personnes de haut niveau comme des dirigeants, dans le but de voler des informations sensibles d’entreprise.

Les attaques de phishing ont eu des impacts catastrophiques sur les entreprises et les économies qu’elles ciblent, atteignant une importance médiatique. L’une des attaques les plus dommageables a eu lieu en 2021, lorsque des pirates ont accédé aux systèmes de Colonial Pipeline via le mot de passe compromis d’un employé. Cela a conduit à une attaque par ransomware qui a paralysé les opérations de l’entreprise pendant plusieurs jours, provoquant des pénuries de carburant sur la côte Est des États-Unis. Colonial Pipeline a payé 4,4 millions de dollars de rançon, et l’impact économique total est estimé à plus de 3 milliards de dollars.

En 2014, des pirates ont trompé des employés de Sony en leur faisant fournir leurs identifiants via des emails de phishing. Cela a entraîné une fuite massive de données confidentielles, de films inédits et d’informations personnelles sur des employés et des célébrités. L’attaque a causé environ 80 millions de dollars de dommages.

Que faire ? Des contrôles techniques efficaces de sécurité des emails sont essentiels, mais de nombreux professionnels de la sécurité souhaitent aussi se concentrer sur la manière dont les personnes réagissent face à un message apparemment malveillant. C’est pourquoi les simulations de phishing sont devenues des éléments populaires des programmes de sensibilisation à la sécurité.

Une simulation de phishing ou phishing simulation en anglais, est un exercice de cybersécurité dans lequel une organisation envoie à ses employés des emails de phishing factices mais réalistes pour tester leur capacité à reconnaître et à réagir aux attaques de phishing. Ces simulations imitent des tentatives réelles de phishing, offrant un environnement sécurisé pour apprendre et améliorer la sensibilisation à la cybersécurité, sans risque de fuite réelle de données.

Les simulations de phishing, ou tests de phishing, sont une composante essentielle d’un programme complet de formation à la sensibilisation à la sécurité. Elles aident les organisations à identifier les vulnérabilités de leur personnel, à éduquer les employés sur les tactiques de phishing les plus récentes, et à renforcer les bonnes pratiques pour gérer les emails suspects. En menant régulièrement ces simulations, les entreprises peuvent réduire considérablement le risque d’être victimes d’attaques de phishing et améliorer leur posture de sécurité globale.

Chez Proofpoint, notre outil de simulation de phishing vous permet de choisir parmi des milliers de modèles, y compris des exemples d’attaques réelles utilisant des marques authentiques identifiées par notre renseignement sur les menaces. Vous pouvez également cibler des populations spécifiques comme les personnes très attaquées (Very Attacked People ou VAPs) ou les utilisateurs ayant interagi avec du contenu malveillant connu.

Si les utilisateurs cliquent, saisissent des informations sur une fausse page ou téléchargent des pièces jointes, ils peuvent être dirigés vers une page d’atterrissage indiquant qu’il s’agissait d’une simulation et fournissant des conseils. Attention cependant, les utilisateurs consultent généralement cette page pendant seulement quelques secondes, préférant souvent la fermer rapidement. Ces pages ne sont donc pas idéales comme composantes éducatives uniques.

Il est courant de penser que les mauvaises choses n’arrivent qu’aux autres. Mais lorsqu’un utilisateur se fait piéger par une simulation de phishing, cela peut provoquer un déclic essentiel : la prise de conscience qu’il peut lui aussi être compromis.

À mesure que les attaques de phishing deviennent plus ciblées et plus difficiles à détecter, il est important de créer un sentiment de vulnérabilité pour renforcer le “pourquoi” de votre programme de sensibilisation. Après être tombé dans le piège d’une attaque simulée, l’utilisateur comprend qu’il peut réellement être victime d’une attaque.

Ces simulations servent de mécanisme de défense essentiel dans un paysage de menaces en constante évolution, où les organisations font face à une moyenne de 66 millions d’attaques de compromission de messagerie professionnelle chaque mois, selon notre dernier rapport. Bien que les attaques réussies aient diminué (71 % des organisations ont subi au moins une attaque réussie en 2023 contre 84 % en 2022), les conséquences sont devenues plus graves. Les organisations ont signalé :

• Une augmentation de 144 % des amendes financières liées à la conformité réglementaire
• Une hausse de 50 % des dommages à la réputation
• 73 % ont subi des attaques BEC, mais seulement 29 % offrent une formation spécifique à ces menaces

En offrant une expérience pratique dans un environnement contrôlé, les employés développent des compétences concrètes pour identifier et répondre aux communications suspectes, passant de vulnérabilités potentielles à défenseurs informés des données de l’entreprise.

Les simulations de phishing permettent des améliorations mesurables de la posture de sécurité d’une organisation. Des tests réguliers permettent d’identifier les départements ou individus nécessitant un soutien supplémentaire, tout en fournissant un retour immédiat et des opportunités de formation face à des menaces simulées.

1. Planification de la simulation

Avant de lancer une simulation de phishing, l’organisation doit planifier méticuleusement la campagne. Cela implique de sélectionner le type d’attaque à simuler (phishing par email, spear phishing, vishing, etc.). Les administrateurs définissent ensuite la portée de la campagne : quels employés seront ciblés, la fréquence des simulations, et les techniques et modèles utilisés.

2. Création des emails de phishing

Les emails sont conçus pour paraître aussi authentiques que possible, imitant souvent des scénarios classiques comme de fausses factures, des demandes de réinitialisation de mot de passe ou des messages d’entités de confiance. Ils peuvent contenir des liens vers de fausses pages d’atterrissage ou des pièces jointes conçues pour inciter les employés à cliquer ou à les télécharger.

3. Distribution des emails

Une fois les emails prêts, ils sont envoyés aux employés ciblés. L’envoi peut être échelonné pour éviter de susciter des soupçons et simuler un scénario d’attaque réaliste. Les emails sont envoyés pendant les heures de travail pour garantir qu’ils soient vus et traités.

4. Suivi des réponses

Comme les employés reçoivent et interagissent avec des emails de phishing, leurs réponses sont étroitement surveillées. La simulation suit divers indicateurs : nombre d’utilisateurs ayant cliqué, téléchargé des fichiers ou saisi leurs identifiants. Elle enregistre également qui a signalé l’attaque au service informatique, preuve de vigilance.

5. Suivi et formation

Après la simulation, les employés qui sont tombés dans le panneau sont dirigés vers une page d’accueil qui explique l’exercice et met en évidence les signes révélateurs qu’ils ont manqués. Cet exercice est souvent suivi de séances de formation supplémentaires de sensibilisation à la sécurité afin de renforcer leur compréhension et d’améliorer leur capacité à reconnaître les tentatives de phishing à l’avenir. Les rapports réguliers et l’analyse des résultats des tests aident les organisations à identifier les domaines à améliorer et à adapter leurs programmes de formation en conséquence.

Les simulations de phishing offrent de nombreux avantages pour améliorer significativement la posture de cybersécurité d’une organisation et sa défense contre les attaques :

• Éduquer les employés : Ces simulations offrent une formation pratique immersive, plus efficace qu’une formation théorique.
• Réduire les attaques réussies : En sensibilisant les employés, on diminue les risques de violations de données et de pertes financières.
• Identifier les vulnérabilités : Elles révèlent les individus ou services les plus exposés, permettant une formation ciblée.
• Mesurer la préparation : Les résultats des tests servent d’indicateurs de la préparation globale à la cybersécurité.
• Favoriser une culture de la sécurité : Elles aident à instaurer une culture proactive de la cybersécurité.
• Respecter les réglementations : Les simulations aident à satisfaire les exigences de conformité en matière de formation à la sécurité.
• Prévenir les pertes économiques : Les simulations sont un moyen économique de prévenir des pertes beaucoup plus graves.

En tirant parti des simulations de phishing, les organisations renforcent leur posture de sécurité et assurent la protection des données sensibles.

Mettre en place une formation à la simulation de phishing implique plusieurs étapes clés, depuis le choix des bons outils jusqu’à l’analyse des résultats et la fourniture de retours. Voici un cadre complet pour configurer un programme de simulation de phishing efficace.

Choisir le bon outil de simulation de phishing

La première étape pour mettre en place une formation de simulation de phishing est de sélectionner l’outil approprié. De nombreux outils de simulation de phishing sont disponibles, chacun ayant des fonctionnalités et des capacités différentes. Prenez compte des critères suivants lors de l’investissement dans le bon outil :

• Facilité d’utilisation : La plateforme de simulation doit être conviviale et facile à configurer.
• Personnalisation : Recherchez des outils permettant de personnaliser les emails de phishing et les pages de destination pour imiter des scénarios réels.
• Rapports et analyses : L’outil doit fournir des rapports détaillés et des analyses pour vous aider à mesurer l’efficacité de vos simulations.
• Intégration à la formation : Choisissez un outil qui propose des modules de formation intégrés pour éduquer les employés immédiatement après qu’ils se soient fait piéger par un email de phishing simulé.

Concevoir des scénarios de phishing efficaces

Une fois que vous avez sélectionné un outil de simulation de phishing, l’étape suivante consiste à concevoir des scénarios de phishing efficaces. Voici comment procéder :

• Fixer des objectifs clairs : Définissez ce que vous souhaitez accomplir avec chaque simulation, par exemple augmenter le taux de signalement des emails de phishing ou réduire le taux de clics sur les liens malveillants.
• Choisir des scénarios réalistes : Utilisez des scénarios pertinents pour votre organisation et imitez des attaques de phishing réelles. Cela pourrait inclure de fausses factures, des demandes de réinitialisation de mot de passe ou des messages d’entités de confiance comme des banques ou des services en ligne.
• Rédiger des emails convaincants : Créez des emails de phishing qui semblent authentiques et qui incluent des déclencheurs psychologiques tels que l’urgence et la confiance. Utilisez des logos, des polices et des schémas de couleurs familiers pour rendre les emails plus convaincants.

Planifier et exécuter les simulations

Une fois vos scénarios de phishing conçus, il est temps de planifier et d’exécuter les simulations :

• Informer les employés : Prévenez les employés du programme de simulation de phishing et du comportement attendu, comme signaler les emails suspects à l’équipe de sécurité.
• Planifier les simulations : Définissez le calendrier de vos simulations. Il est recommandé d’envoyer au moins un email de phishing simulé par mois, mais vous pouvez ajuster la fréquence en fonction des besoins de votre organisation.
• Lancer la campagne : Exécutez la simulation de phishing en envoyant les emails conçus aux employés sélectionnés. Assurez-vous que les emails soient envoyés pendant les heures de travail pour maximiser l’engagement.

Analyser les résultats et fournir des retours

Une fois la simulation terminée, analysez les résultats et fournissez des retours aux employés :

• Surveiller les réponses : Suivez la manière dont les employés interagissent avec les emails de phishing, y compris ceux qui ont cliqué sur des liens, téléchargé des pièces jointes ou signalé les emails.
• Évaluer l’efficacité : Utilisez les données recueillies pour évaluer l’efficacité de la simulation. Identifiez les domaines où les employés ont bien performé et ceux nécessitant des améliorations.
• Fournir une formation immédiate : Proposez une formation immédiate aux employés qui sont tombés dans le piège des emails de phishing. Cette formation doit être interactive et expliquer comment ils ont été trompés ainsi que les éléments à surveiller à l’avenir.

Bonnes pratiques pour les simulations de phishing

Ci-dessous, nous avons énuméré plusieurs bonnes pratiques et recommandations basées sur notre expérience d’accompagnement de milliers de clients dans la gestion fluide des simulations de phishing.

Avant de lancer la simulation :

• Établissez une liste de sécurité appropriée et effectuez un test sur une poignée d’employés de votre service pour vous assurer que les simulations de phishing se déroulent comme prévu.
• Si vous avez un help desk ou un service interne similaire, informez-les à propos du phishing simulé avant de l’envoyer ; faites-le à chaque fois.
• Si nécessaire, envisagez de tenir un autre groupe désigné informé, comme les ressources humaines, la direction, ou d’autres, au sujet de la simulation.
• Si vous envoyez un phishing simulé imitant un autre département interne, demandez leur permission et faites en sorte qu’ils approuvent le contenu final.
• Pour les simulations visant des audiences internationales, envisagez de trouver des parties prenantes dans ces zones qui sont familières avec la culture et qui peuvent examiner le contenu de la simulation de phishing pour s’assurer qu’il est pertinent.

Démarrer le programme de simulation de phishing :

Lorsque vous envoyez votre premier phishing simulé, dirigez les utilisateurs vers une page d’erreur 404 afin d’obtenir une base solide sur la vulnérabilité des utilisateurs au départ. Ensuite, après avoir envoyé ce “phishing aveugle” :

• Envoyez une notification présentant le programme et ses objectifs. Vérifiez auprès de votre directeur de la sécurité des informations (CISO), directeur des systèmes d’information (CIO) ou autre cadre dirigeant pour voir s’ils peuvent envoyer le message.
• Ensuite, identifiez vos personnes les plus attaquées ou les utilisateurs qui sont confrontés à de véritables attaques afin de concentrer vos simulations ou de fournir des efforts de réduction des risques plus ciblés pour ces populations.
• Enfin, travaillez avec d’autres départements ou collègues pour mesurer les impacts réels de sécurité des utilisateurs avant et après la mise en œuvre du programme, afin de démontrer le retour sur investissement de vos efforts — comme les remédiations informatiques suite à des malwares, les attaques de phishing réussies et les violations de données d’identifiants.

À mesure que le programme progresse :

Assurez-vous de maintenir une bonne cadence. Nous recommandons au moins une simulation de phishing toutes les 4-6 semaines, et plus si possible. À mesure que votre programme évolue, vous souhaiterez :

• Envoyer des attaques de phishing plus ciblées. Par exemple, utilisez des modèles spécifiques basés sur de véritables attaques pour certains départements et populations, tels que les VAPs.
• Envisagez d’auto-inscrire les utilisateurs qui tombent dans les simulations à des formations pour développer leurs compétences.
• Implémentez un outil de signalement de phishing pour faciliter la tâche des utilisateurs qui signalent les messages suspects.

Pour les utilisateurs “clics répétés”, envisagez d’avoir une réunion individuelle pour comprendre pourquoi ils interagissent avec des messages potentiellement malveillants et réitérez l’importance de votre programme. Assurez-vous également de partager des histoires ou de récompenser les utilisateurs qui signalent des simulations ou même de véritables attaques. Cela permet d’enrichir votre programme et d’encourager un comportement plus positif.

Selon Kimberly Pavelich et Debbie Rich de Proofpoint : “À mesure que les gens deviennent plus sophistiqués pour détecter le phishing (et ses variations), les attaquants trouvent de nouvelles façons d’intégrer du contenu malveillant. C’est pourquoi il est impératif pour les professionnels de la sécurité de transformer les menaces réelles en initiatives de formation et de sensibilisation pertinentes.” Consultez leur article sur 4 bonnes pratiques pour une sensibilisation à la sécurité axée sur les menaces réelles pour plus d’informations.

Bien que les simulations de phishing offrent de nombreux avantages, les organisations peuvent rencontrer plusieurs défis lors de leur mise en œuvre. Relever ces défis est crucial pour garantir l’efficacité et le succès du programme.

Résistance et engagement des employés

L’un des principaux défis est de surmonter la résistance des employés et de favoriser l’engagement. Certains employés peuvent percevoir les simulations de phishing comme un piège ou un manque de confiance de l’organisation. D’autres peuvent se sentir embarrassés ou démotivés s’ils tombent dans une tentative de phishing simulée.

Pour surmonter ce défi, il est essentiel de communiquer de manière transparente sur l’objectif et les avantages des simulations de phishing. Mettez l’accent sur le fait que le but est d’éduquer et de protéger les employés, et non de les piéger ou de les réprimander. Encouragez une culture de l’apprentissage continu et fournissez un renforcement positif pour ceux qui signalent des tentatives de phishing simulées.

Établir des simulations réalistes

Un autre défi majeur est de créer des simulations de phishing réalistes et convaincantes. Si les simulations sont trop évidentes ou irréalistes, les employés peuvent devenir complaisants ou les rejeter, ce qui compromet l’efficacité de la formation.

Pour y remédier, les organisations doivent investir dans des outils de simulation de phishing de haute qualité permettant la personnalisation. Utilisez des exemples de phishing réels et des techniques que les cybercriminels utilisent pour élaborer des scénarios convaincants. De plus, des mises à jour régulières et une diversification des simulations doivent être effectuées pour garder les employés sur leurs gardes et éviter qu’ils ne reconnaissent des motifs récurrents.

Maintenir l’engagement et la continuité

Il peut être difficile de maintenir l’engagement des employés et d’assurer la continuité du programme de simulation de phishing. Au fil du temps, les employés peuvent devenir insensibilisés ou perdre de l’intérêt, ce qui conduit à une baisse de la vigilance et de la participation.

Exemples de campagnes de simulation de phishing

Pour maintenir l’engagement, envisagez de rendre l’expérience de simulation de phishing plus ludique en introduisant des classements, des récompenses ou des incitations pour ceux qui identifient et signalent systématiquement les tentatives de phishing simulées. De plus, les scénarios de simulation, le timing et les méthodes de livraison doivent être variés pour maintenir l’intérêt des employés et prévenir la complaisance.

Aborder les employés à haut risque

Identifier et aborder les employés à haut risque qui tombent systématiquement dans les simulations de phishing peut être une tâche délicate. Bien qu’il soit important de fournir une formation et un soutien supplémentaires, les organisations doivent être prudentes pour ne pas isoler ou démotiver ces employés.

Une approche consiste à offrir un coaching personnalisé et des modules de formation ciblés pour les employés à haut risque. Envisagez également d’implémenter des mesures de sécurité temporaires, telles que restreindre l’accès à des systèmes spécifiques ou exiger des facteurs d’authentification supplémentaires, jusqu’à ce que l’employé démontre une prise de conscience améliorée.

Voici quelques études de cas réelles notables d’organisations ayant mis en œuvre des simulations de phishing et l’impact positif que ces programmes ont eu :

Royal Bank of Scotland

La Royal Bank of Scotland (RBS) a mis en place la plateforme Proofpoint Security Education, qui comprend des simulations de phishing et des modules de formation interactifs. En menant des évaluations de phishing régulières et en inscrivant automatiquement les employés à une formation ciblée en fonction de leurs performances, RBS a réduit de manière remarquable de plus de 78 % la susceptibilité au phishing parmi ses 80 000 employés. Le programme a non seulement amélioré la sensibilisation des employés, mais a également réduit le nombre d’attaques informatiques réussies infiltrant l’organisation.

Université du nord-est des États-Unis

Une université du nord-est des États-Unis faisait face à cinq à six attaques de phishing malveillantes réussies chaque mois avant d’adopter le programme de formation contre le phishing de Proofpoint. Après avoir mis en œuvre des attaques de phishing simulées et des modules de formation interactifs, le collège a constaté une réduction de 90 % des attaques de phishing réussies. La formation a permis de briser la fausse idée parmi certains membres du personnel qu’ils étaient à l’abri des menaces de phishing, favorisant la responsabilité et la remontée proactive des emails suspects.

Grand hôpital italien

Dans le cadre d’un exercice de simulation de phishing d’une durée d’un an mené dans un grand hôpital italien avec plus de 6 000 employés, les chercheurs ont comparé l’efficacité d’un email de phishing spécifique au contexte par rapport à un email général d’un fournisseur de simulation. L’étude a mis en évidence l’importance de l’engagement de la direction, d’une communication efficace avec le personnel et de la nécessité de simulations régulières pour renforcer l’apprentissage et mesurer les progrès au fil du temps.

​​​​Proofpoint Assess​​ propose une plateforme de sensibilisation à la sécurité basée sur des données qui combine des simulations de phishing avancées avec une formation ciblée pour renforcer la couche de défense humaine des organisations. La plateforme permet aux organisations de lancer des campagnes de phishing sophistiquées qui imitent des attaques réelles, en utilisant des milliers de modèles basés sur les renseignements sur les menaces de Proofpoint recueillis en analysant des dizaines de milliards de messages chaque jour. Ces simulations vont au-delà des emails pour inclure des SMS, des clés USB et d’autres vecteurs d’attaque, permettant aux organisations de tester plusieurs canaux de menaces.

L’approche intégrée de la plateforme s’associe aux services Proofpoint Email Security pour identifier les Very Attacked People™ tout en surveillant continuellement le comportement des utilisateurs afin d’identifier les clics récurrents et les contrevenants.

Ces informations alimentent l’inscription automatisée des utilisateurs à risque dans des programmes de formation ciblés, garantissant ainsi une intervention là où elle est la plus nécessaire. Le système fournit des évaluations d’apprentissage adaptatif prédéfinies couvrant des sujets de cybersécurité et de conformité, inscrivant automatiquement les utilisateurs qui échouent aux simulations dans des modules de formation supplémentaires.

La plateforme évalue la culture de la sécurité en mesurant la responsabilité des employés dans la prévention des menaces de cybersécurité, en évaluant la prise de conscience des menaces personnelles et la compréhension des impacts, et en mesurant l’autonomisation des utilisateurs dans l’identification et la remontée de comportements suspects. Cette approche dynamique ajuste les tests de phishing en fonction des profils de risque individuels, créant ainsi une expérience d’apprentissage personnalisée qui évolue en fonction des performances et des besoins de chaque utilisateur.

Grâce à cette approche complète, Proofpoint permet aux organisations de construire et maintenir une culture de sécurité consciente à travers leur force de travail tout en fournissant un programme de sensibilisation à la sécurité résilient qui s’adapte aux menaces émergentes et réduit les risques humains.

Apprenez-en plus sur les solutions de sensibilisation à la sécurité gérées par Proofpoint ou contactez Proofpoint dès aujourd’hui.