Simulation d'attaques de phising
- Sensibiliser à la cybersécurité
- Former vos collaborateurs par l’action
- Impliquer l’humain dans les risques liés au phishing
Pourquoi stimuler des attaques de phishing dans votre entreprise ?
Employés, directeurs, cadres, chacun de vos collaborateurs peut être victime d’hameçonnage. Le moyen le plus efficace pour s’en protéger est de sensibiliser à la sécurité informatique. Simuler une campagne de phishing c’est vous donner les moyens de :
- Identifier les vulnérabilités humaines de votre organisation
- Avoir une connaissance du niveau de vigilance de vos équipes
- Former à la cybersécurité vos collaborateurs et les sensibiliser aux risques de cyberattaques
- Renforcer votre niveau de sécurité
47%
des télétravailleurs se font piéger par un phishing (source : Expel)
55%
des entreprises vont renforcer leur protection en 2022
2,1
Nos campagnes de simulation de phishing
Les emails sont encore aujourd’hui une des principales cybermenaces. 22% des violations sont causées par des interactions sociales ou par une intention de manipuler le comportement de l’utilisateur. 96% de ces violations ont été réalisées par email, et 9/10 sont classées comme du phishing. Vos collaborateurs sont-ils suffisamment informés et formés pour se protéger du hameçonnage ? Nous vous accompagnons !
Formation cybersécurité
- Identifier les risques et les conséquences des actions des collaborateurs
- Expliquer et justifier les restrictions imposées par votre politique de sécurité
- Faire comprendre les principales défenses qui ont lieu dans l'entreprise
- Comprendre les types de risques et les conséquences possibles associés à la sécurité du SI
- Identifier les mesures pour protéger les informations et protéger les postes de travail
- Faciliter la conduite de la politique de sécurité du SI de l'entreprise
Analyse des résultats de la campagne de phishing
- Répertorier le nombre de collaborateurs qui ont cliqué sur des pièces jointes compromises
- Identifier le nombre de collaborateurs qui ont signalé des e-mails suspects
- Communiquer les résultats de manière anonyme aux collaborateurs
- Dispenser une formation en cybersécurité à tout ou partie de vos collaborateurs
- Planifier une ou plusieurs nouvelles campagnes de phishing
- Vérifier l'acquisition des bons réflexes
Phishing de vos collaborateurs
- Cibler des groupes de collaborateurs
- Aviser seulement quelques collaborateurs (qui ne font pas partie du groupe évalué)
- Définir un objectif (liens malveillants, collecte de données via des formulaires web, pièces jointes infectées).
- Sélectionner un scénario (e-mail d'un service interne ou externe à l'entreprise ou à l'organisation existante)
- Créer des e-mails destinés à donner confiance aux collaborateurs et à les inciter à envoyer des informations telles que la mise à jour de mots de passe expirés ou la demande d'informations professionnelles
- Envoyer les e-mails aux collaborateurs ciblés
Axido vous accompagne à toutes les étapes de votre campagne de simulation de phishing : sélection du type de menace, sélection des utilisateurs ciblés, planification de l’attaque simulée, analyse des résultats de la campagne et formation de vos employés. Découvrez nos compétences en cybersécurité.
Les étapes clés pour une campagne de phishing réussie
A quoi doit servir votre campagne de simulation de phishing ? C’est la première question que vous devez vous poser. Pour ce faire, il est nécessaire d’identifier la menace informatique auquelle vous souhaitez sensibiliser vos employés :
- liens malveillants
- collecte de données via un faux formulaire web pour récupérer des données sensibles
- pièce jointe infectée
Une fois votre objectif déterminé, il est temps de choisir le scénario de simulation de phising pour tester vos collaborateurs.
Il faudra privilégier le scénario d’hameçonnage qui pourrait le plus facilement se présenter dans le quotidien de vos utilisateurs.
Voici 4 principaux types de scénarios de phishing :
- se faire passer pour une marque
- se faire passer pour un service interne ou externe à votre organisation
- prendre un scénario prêt à l’emploi
- concevoir un scénario depuis 0
Echanger sur votre projet de cybersécurité
Renseignez vos coordonnées
Qu’est-ce qu’une attaque de phising ?
Une attaque de phishing ou d’hameçonnage est une tentative de vol d’informations ayant pour but d’accéder à un de mot de passe, un nom d’utilisateur, des numéros de carte de crédit ou autre.
L’auteur de ce genre d’attaque peut vendre ou utiliser ces informations à d’autres fins, et peut utiliser de nombreuses méthodes trompeuses pour se les procurer. La plus courante est le fait d’inciter la victime à effectuer des actions, sans qu’elle ne se doute de rien. Ainsi, il l’attire en se faisant passer pour une source fiable et réputée avec des demandes importantes ou des offres intéressantes. La victime se fait donc piégée de la même manière qu’un pécheur attraperait un poisson avec un appât.
Comment reconnaître une attaque de phising ?
Il existe de nombreux signes révélateurs qui permettent de repérer les attaques et de démasquer les faux courriels.
- Le design : les faux sites n’arrivent pas à totalement imiter les sites officiels dans 15 % des cas, et vous pouvez voir les différences en juste comparant.
- Des informations expirées : une tentative sur dix prévoit des messages ou des images qui ne sont plus d’actualité, et vous pouvez en déduire qu’il s’agit d’un hameçonnage, et non d’un email professionnel.
- Les images : souvent, les images utilisés dans les faux sites sont floues, parce qu’elles sont téléchargées ou redimensionnées. Elles apparaissent ainsi comme déformées ou pixelisées.
- Les erreurs grammaticales : un email professionnel peut paraître légitime et trompeur en la forme, mais il ne doit pas être mal écrit ! Ainsi, lorsque l’email comporte des fautes, dans la plupart des cas, il est un faux.
- Une fausse adresse : lorsque l’adresse email contenant un message important ne comporte pas le nom de l’établissement officiel, ne l’ouvrez pas, il s’agit certainement d’un hameçonnage.
Quel recours en cas de phishing ?
Lorsque vous êtes victime d’hameçonnage, les meilleures mesures à prendre sont les suivantes :
- Contacter l’organisme concerné au moindre doute : lorsque vous n’êtes pas sûr de la fiabilité du mail, contactez directement l’expéditeur pour une confirmation.
- Faire opposition : en cas de débits frauduleux sur votre compte ou en cas d’éléments sensibles communiqués malencontreusement, faites opposition immédiatement auprès de votre organisme financier et déposez plainte.
- Déposer une plainte : le dépôt de plainte auprès du commissariat de police, de la gendarmerie ou encore auprès du procureur de la République peut vous protéger contre les éventuelles usurpations d’identité, et vous aider à obtenir justice.
- Conserver les preuves : il s’agit principalement de l’email qui a servi d’hameçonnage, ainsi que de tout ce qui pourrait établir un lien avec votre attaque.
- Changer de mot de passe : si votre mot de passe est compromis, changez-le immédiatement et faites un signalement auprès du site, du service ou de la plateforme concernée.
- Signaler tous les messages douteux : même si vous n’êtes pas victime des attaques de phishing, signalez les tentatives auprès des organismes responsables de ces dernières, tels que Signal Spam, Phishing initiative, etc.
Quels sont les types de phishing ?
Quels indices peuvent faire penser qu'il s'agit d'une tentative de phishing ?
Qu’il s’agisse de pièces jointes douteuses prétendant être une facture que vous avez déjà payée ou de messages « Mot de passe expiré » redirigeant vers une page de connexion étrange, les entreprises sont quotidiennement la cible d’innombrables types d’attaques de phishing, allant du plus évident au plus étonnamment authentique.
Voici quelques conseils pour essayer de déterminer si l’e-mail ou le message que vous avez reçu est une tentative de phishing et ce que vous pouvez faire pour l’éviter :
- Vérifiez l’URL du lien : Les attaques de phishing utilisent des liens très similaires aux URL des sites authentiques. Ceux qui sont familiers avec le Web les reconnaissent généralement facilement, mais les moins expérimentés peuvent les confondre avec des liens officiels.
- Méfiez-vous des liens commençant par l’adresse IP : L’adresse IP est une étiquette numérique qui identifie de manière unique un appareil connecté à un réseau informatique. Donc si le lien commence par une succession de chiffres, soyez prudent et rappelez-vous que les banques et les institutions n’utilisent jamais de liens de ce type.
- Ne remplissez jamais les champs d’un e-mail : Si les champs à remplir se trouvent dans le mail, arrêtez-vous maintenant ! Aucune banque ou institution ne vous enverra un e-mail pour faire une telle chose.
- N’ouvrez pas les pièces jointes que vous n’avez pas demandées ou que vous ne connaissez pas : Mieux vaut une série d’appels téléphoniques de plus que de se faire arnaquer. Appelez le service client de l’organisation et demandez s’ils envoient des messages ou des e-mails similaires à ceux que vous avez reçus.
- Ne révélez vos mots de passe à personne et changez-les souvent : il s’agit d’une mesure importante pour réduire le risque d’une violation de données personnelles.
Combien de simulation de phishing par an ?
Les simulations d’hameçonnage doivent être exécutées dans le cadre d’une campagne continue afin de vous aider à évaluer les risques à un stade précoce, puis, au fil du temps, à mesurer le succès de vos efforts pour réduire la sensibilité à ces menaces.
Essayez de vous assurer que chaque membre du personnel reçoit une simulation de phishing au moins une fois par trimestre pour aider à suivre les risques tout en maintenant l’éducation à un niveau élevé, sans exagérer et ennuyer les gens. Cela sera le meilleurmoyen de sensibiliser à la cybersécurité.
