Simulation d'attaques de phising

garder son si securise

Pourquoi stimuler des attaques de phishing dans votre entreprise ?

Employés, directeurs, cadres, chacun de vos collaborateurs peut être victime d’hameçonnage. Le moyen le plus efficace pour s’en protéger est de sensibiliser à la sécurité informatique. Simuler une campagne de phishing c’est vous donner les moyens de :

47%

des télétravailleurs se font piéger par un phishing (source : Expel)

55%

des entreprises vont renforcer leur protection en 2022

2,1

millions de sites de phishing en janvier 2021 découvert par Google

Nos campagnes de simulation de phishing

Les emails sont encore aujourd’hui une des principales cybermenaces. 22% des violations sont causées par des interactions sociales ou par une intention de manipuler le comportement de l’utilisateur. 96% de ces violations ont été réalisées par email, et 9/10 sont classées comme du phishing. Vos collaborateurs sont-ils suffisamment informés et formés pour se protéger du hameçonnage ? Nous vous accompagnons !

securite poste de travail

Formation cybersécurité

securite informatique

Analyse des résultats de la campagne de phishing

cybermenaces

Phishing de vos collaborateurs

Précédent
Suivant
Nos certifications et expertises en cybersécurité

Axido vous accompagne à toutes les étapes de votre campagne de simulation de phishing : sélection du type de menace, sélection des utilisateurs ciblés, planification de l’attaque simulée, analyse des résultats de la campagne et formation de vos employés. Découvrez nos compétences en cybersécurité.

Les étapes clés pour une campagne de phishing réussie

intrusion système informatique

A quoi doit servir votre campagne de simulation de phishing ? C’est la première question que vous devez vous poser. Pour ce faire, il est nécessaire d’identifier la menace informatique auquelle vous souhaitez sensibiliser vos employés :

  • liens malveillants
  • collecte de données via un faux formulaire web pour récupérer des données sensibles
  • pièce jointe infectée

Une fois votre objectif déterminé, il est temps de choisir le scénario de simulation de phising pour tester vos collaborateurs.

Il faudra privilégier le scénario d’hameçonnage qui pourrait le plus facilement se présenter dans le quotidien de vos utilisateurs.

Voici 4 principaux types de scénarios de phishing :

  • se faire passer pour une marque
  • se faire passer pour un service interne ou externe à votre organisation
  • prendre un scénario prêt à l’emploi
  • concevoir un scénario depuis 0

Echanger sur votre projet de cybersécurité

Renseignez vos coordonnées

contact axido
Les étapes clés pour une campagne de phishing réussie

Qu’est-ce qu’une attaque de phising ?

Une attaque de phishing ou d’hameçonnage est une tentative de vol d’informations ayant pour but d’accéder à un de mot de passe, un nom d’utilisateur, des numéros de carte de crédit ou autre.

 

L’auteur de ce genre d’attaque peut vendre ou utiliser ces informations à d’autres fins, et peut utiliser de nombreuses méthodes trompeuses pour se les procurer. La plus courante est le fait d’inciter la victime à effectuer des actions, sans qu’elle ne se doute de rien. Ainsi, il l’attire en se faisant passer pour une source fiable et réputée avec des demandes importantes ou des offres intéressantes. La victime se fait donc piégée de la même manière qu’un pécheur attraperait un poisson avec un appât.

Comment reconnaître une attaque de phising ?

Il existe de nombreux signes révélateurs qui permettent de repérer les attaques et de démasquer les faux courriels.

  • Le design : les faux sites n’arrivent pas à totalement imiter les sites officiels dans 15 % des cas, et vous pouvez voir les différences en juste comparant.
  • Des informations expirées : une tentative sur dix prévoit des messages ou des images qui ne sont plus d’actualité, et vous pouvez en déduire qu’il s’agit d’un hameçonnage, et non d’un email professionnel.
  • Les images : souvent, les images utilisés dans les faux sites sont floues, parce qu’elles sont téléchargées ou redimensionnées. Elles apparaissent ainsi comme déformées ou pixelisées.
  • Les erreurs grammaticales : un email professionnel peut paraître légitime et trompeur en la forme, mais il ne doit pas être mal écrit ! Ainsi, lorsque l’email comporte des fautes, dans la plupart des cas, il est un faux.
  • Une fausse adresse : lorsque l’adresse email contenant un message important ne comporte pas le nom de l’établissement officiel, ne l’ouvrez pas, il s’agit certainement d’un hameçonnage.

Quel recours en cas de phishing ?

Lorsque vous êtes victime d’hameçonnage, les meilleures mesures à prendre sont les suivantes :

  • Contacter l’organisme concerné au moindre doute : lorsque vous n’êtes pas sûr de la fiabilité du mail, contactez directement l’expéditeur pour une confirmation.
  • Faire opposition : en cas de débits frauduleux sur votre compte ou en cas d’éléments sensibles communiqués malencontreusement, faites opposition immédiatement auprès de votre organisme financier et déposez plainte.
  • Déposer une plainte : le dépôt de plainte auprès du commissariat de police, de la gendarmerie ou encore auprès du procureur de la République peut vous protéger contre les éventuelles usurpations d’identité, et vous aider à obtenir justice.
  • Conserver les preuves : il s’agit principalement de l’email qui a servi d’hameçonnage, ainsi que de tout ce qui pourrait établir un lien avec votre attaque.
  • Changer de mot de passe : si votre mot de passe est compromis, changez-le immédiatement et faites un signalement auprès du site, du service ou de la plateforme concernée.
  • Signaler tous les messages douteux : même si vous n’êtes pas victime des attaques de phishing, signalez les tentatives auprès des organismes responsables de ces dernières, tels que Signal Spam, Phishing initiative, etc.

Quels sont les types de phishing ?

Les attaques de phishing peuvent être de différents types, à cause de leurs cibles.   D’abord, il peut s’agit d’une attaque ciblée qui concerne une seule personne ou une entité précise. L’assaillant peut donc s’adresser directement à vous dans le but d’accéder à vos informations sensibles ou confidentielles. Ce genre d’email de phishing est difficile à reconnaitre, car l’auteur récolte souvent des informations personnelles vous concernant, et les utilise pour vous piéger.   Ensuite, il y a les attaques d’ingénierie sociale qui visent un large éventail de cibles. A titre d’exemple, l’auteur s’attaque à toute personne disposant d’un compte PayPal.

Quels indices peuvent faire penser qu'il s'agit d'une tentative de phishing ?

Qu’il s’agisse de pièces jointes douteuses prétendant être une facture que vous avez déjà payée ou de messages « Mot de passe expiré » redirigeant vers une page de connexion étrange, les entreprises sont quotidiennement la cible d’innombrables types d’attaques de phishing, allant du plus évident au plus étonnamment authentique.

 

Voici quelques conseils pour essayer de déterminer si l’e-mail ou le message que vous avez reçu est une tentative de phishing et ce que vous pouvez faire pour l’éviter :

  • Vérifiez l’URL du lien : Les attaques de phishing utilisent des liens très similaires aux URL des sites authentiques. Ceux qui sont familiers avec le Web les reconnaissent généralement facilement, mais les moins expérimentés peuvent les confondre avec des liens officiels.
  • Méfiez-vous des liens commençant par l’adresse IP : L’adresse IP est une étiquette numérique qui identifie de manière unique un appareil connecté à un réseau informatique. Donc si le lien commence par une succession de chiffres, soyez prudent et rappelez-vous que les banques et les institutions n’utilisent jamais de liens de ce type.
  • Ne remplissez jamais les champs d’un e-mail : Si les champs à remplir se trouvent dans le mail, arrêtez-vous maintenant ! Aucune banque ou institution ne vous enverra un e-mail pour faire une telle chose.
  • N’ouvrez pas les pièces jointes que vous n’avez pas demandées ou que vous ne connaissez pas : Mieux vaut une série d’appels téléphoniques de plus que de se faire arnaquer. Appelez le service client de l’organisation et demandez s’ils envoient des messages ou des e-mails similaires à ceux que vous avez reçus.
  • Ne révélez vos mots de passe à personne et changez-les souvent : il s’agit d’une mesure importante pour réduire le risque d’une violation de données personnelles.

Combien de simulation de phishing par an ?

Les simulations d’hameçonnage doivent être exécutées dans le cadre d’une campagne continue afin de vous aider à évaluer les risques à un stade précoce, puis, au fil du temps, à mesurer le succès de vos efforts pour réduire la sensibilité à ces menaces.

Essayez de vous assurer que chaque membre du personnel reçoit une simulation de phishing au moins une fois par trimestre pour aider à suivre les risques tout en maintenant l’éducation à un niveau élevé, sans exagérer et ennuyer les gens. Cela sera le meilleurmoyen de sensibiliser à la cybersécurité.

Retour vers le haut

Découvrir les fonctionnalités