Comment réussir sa campagne de phishing ?

Pourquoi mener une campagne de sensibilisation au phishing ?

Les pièges et les menaces sur internet sont nombreux et variés : le phishing et le spear phishing, en pleine recrudescence, en sont des exemples probants. Les conséquences sont potentiellement préjudiciables.

Pourquoi le phishing est-il autant privilégié par les hackers ? Parce que créer un e-mail d’hameçonnage basique est facilement réalisable, même pour un fraudeur novice ! et surtout, parce que l’humain reste faillible ! Une brèche dans laquelle s’engouffrent couramment les pirates informatiques ! En effet, 80% des cyberattaques ont pour origine un e-mail de phishing.

Nous sommes tous clairvoyants : il est nécessaire de sensibiliser les individus au phishing. Il est indispensable de les éduquer à déjouer les pièges de ce type d’attaques. Mais de quelle manière ? Quelle méthode ?

Quels sont les solutions de sensibilisation ? Quels sont les obstacles rencontrés ?

Impliquer les utilisateurs à la problématique de la cybercriminalité et particulièrement aux risques liés au phishing, c’est mettre en place des solutions techniques et organisationnelles. De nombreux responsables informatiques, DSI, RSSI, DPO informent les collaborateurs aux risques informatiques. Par exemples, ils mènent eux-mêmes des campagnes de phishing, prodiguent des conseils d’usages de bonnes pratiques informatiques et informent régulièrement les utilisateurs par des documentations sur internet ou dans la presse spécialisée.

Cependant, mesurent-ils réellement la portée de leurs actions de sensibilisation prodiguées auprès des utilisateurs ? D’autant plus, nous le constatons, cela ne suffit pas à stopper les attaques par phishing : Mais pourquoi ?

Les campagnes de phishing des hackers : toujours d’actualité !

Selon le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), l’attaque par phishing demeure en pole position des grands types d’attaques subies par les entreprises (près de 80%), suivi de la fraude au président (47%).

Et hélas, le même schéma se reproduit : un individu ouvre malencontreusement un e-mail d’hameçonnage, clique sur le lien contenu dans celui-ci ou, par erreur ou faute d’inattention, télécharge une pièce jointe sans avoir été vigilant. Un simple geste ayant des conséquences souvent désastreuses : parmi les plus fréquentes, citons par exemples, l’infection par un ransomware, l’usurpation d’identité, l’infection par malware et le vol de données personnelles.

Toutefois, nous ne pouvons condamner un utilisateur s’il n’a pas été foncièrement formé à déjouer les pièges des e-mails de phishing.

L’humain reste le point d’entrée privilégié des cybercriminels

La technique seule n’est pas satisfaisante ! Des années d’investissement dans les antivirus, antispams et pare-feux nous le prouvent : le phishing a “toujours la cote” !
Et nous restons, malgré tout, immobiles, à attendre, médusés, l’irréparable : le lien frauduleux cliqué, la pièce jointe malveillante ouverte…Une situation insupportable !

Il est temps de changer !
L’investissement dans le capital humain doit prendre le dessus sur l’investissement technique.

Une campagne pour protéger les individus et l’organisation du phishing

En effet, préparer les individus au phishing c’est protéger son organisation :

  • des pertes économiques.
  • du coût engendré par l’arrêt ou perturbation de la production.
  • du dysfonctionnement du site web.
  • de l’indisponibilité du système d’information.
  • des retards liés aux travaux de remise en conformité.
  • de la dégradation de l’image, de la perte de confiance des potentiels clients.

Cette liste reste non exhaustive !
La formation du personnel est l’enjeu majeur de cette décennie. Mais comment ?

Les recettes d’une campagne de phishing réussie

Vous êtes responsables informatiques, DSI, RSSI, DPO ? Votre fonction est liée à la gestion des risques ? Mener une campagne de sensibilisation à la cybersécurité et plus particulièrement à l’hameçonnage nécessite :

  • d’animer des séances de formation et de sensibilisation à la sécurité, en présentiel et/ou en e-learning.
  • d’envoyer régulièrement des e-mails de phishing inoffensifs aux collaborateurs.
  • de consacrer du temps pour la production, le déploiement, la mise en oeuvre et le suivi.
  • d’utiliser la méthode la plus efficace possible, celle qui permettra à votre organisation de s’inscrire dans la durée.

Néanmoins :

  • toutes les méthodes ne se valent pas et ne s’adaptent pas forcément à chacun des individus.
  • vous manquez de temps car d’autres tâches plus gratifiantes vous incombent.
  • vous n’avez pas les moyens de suivre chaque collaborateur, ni par conséquent, d’évaluer les retombées de vos campagnes de phishing.

Qu’est-ce qu’une campagne de sensibilisation au phishing performante ?

Une campagne d’hameçonnage efficiente doit :

    • apprendre à l’utilisateur à devenir vigilant et acteur de sa cybersécurité au quotidien.
    • être adaptée à chaque individu, prendre en compte la singularité d’apprentissage de chacun.
    • accompagner le collaborateur dans sa montée en compétence face aux attaques par phishing. Elle ne doit pas se contenter de pointer ses erreurs de, ce qui s’avérerait, en somme, peu constructif.
    • apporter autonomie à chacun.
    • être animée sur la durée sans requérir votre intervention.

En outre, une campagne de phishing ne doit pas se restreindre uniquement à la problématique du phishing mais aussi apporter de véritables connaissances sur la cybersécurité, au travers de modules e-learning dédiés.
Une campagne qualitative doit s’inscrire dans la durée, garantir la pérennité de votre cybersécurité.
Une campagne de sensibilisation au phishing doit “simuler” une campagne d’hameçonnage comme celles menées par les hackeurs : mêmes caractéristiques techniques, mêmes leviers psychologiques, même apparence, mêmes “pièges”.

La meilleure Campagne de phishing doit obtenir l’adhésion de tous et la vigilance de chacun !

Les campagnes de phishing d’Avant de Cliquer se distinguent des campagnes classiques par notre volonté :

  • d’amélioration constante des résultats.
  • d’obtention de l’adhésion du plus grand nombre à la problématique du phishing.
  • Chez “Avant de Cliquer”, nous attachons une attention particulière à votre cyberrésilience et, par conséquent, aux “savoirs faire” mais aussi aux “savoirs devenir” de vos collaborateurs.

De plus, notre solution ne nécessite aucune intervention de votre part, vous n’avez rien à faire…nous nous occupons de tout !

Vous souhaitez en connaître d’avantage sur notre solution innovante à l’efficacité immédiate ? Contactez-nous…







    J'accepte de communiquer mes données personnelles dans le but d'assurer une réponse à ma demande.