Simulation de phishing

Fiche pratique hameçonnage

    piratage informatique

    Pourquoi stimuler des attaques de phishing dans votre entreprise ?

    Employés, directeurs, cadres, chacun de vos collaborateurs peut être victime d’hameçonnage. Le moyen le plus efficace pour s’en protéger est de sensibiliser à la sécurité informatique. Simuler une campagne de phishing c’est vous donner les moyens de :

    Comment lutter contre le phishing ?

    Axido votre cybercoach

    Les emails sont encore aujourd’hui une des principales cybermenaces. 22% des violations sont causées par des interactions sociales ou par une intention de manipuler le comportement de l’utilisateur. 96% de ces violations ont été réalisées par email, et 9/10 sont classées comme du phishing. Vos collaborateurs sont-ils suffisamment informés et formés pour se protéger du hameçonnage ? Axido vous accompagne à toutes les étapes de votre campagne de simulation de phishing : sélection du type de menace, sélection des utilisateurs ciblés, planification de l’attaque simulée, analyse des résultats de la campagne et formation de vos employés. Découvrez nos compétences en cybersécurité.

    0 %

    des télétravailleurs se font piéger par un phishing (source : Expel)

    0 %
    des entreprises vont renforcer leur protection en 2022
    0 ,1
    millions de sites de phishing en janvier 2021 découvert par Google

    Nos campagnes de simulation
    de phishing

    maintenance informatique preventive
    • Identifier les risques et les conséquences des actions des collaborateurs
    • Expliquer et justifier les restrictions imposées par votre politique de sécurité
    • Faire comprendre les principales défenses qui ont lieu dans l'entreprise
    • Comprendre les types de risques et les conséquences possibles associés à la sécurité du SI
    • Identifier les mesures pour protéger les informations et protéger les postes de travail
    • Faciliter la conduite de la politique de sécurité du SI de l'entreprise
    maintenance informatique preventive
    • Répertorier le nombre de collaborateurs qui ont cliqué sur des pièces jointes compromises
    • Identifier le nombre de collaborateurs qui ont signalé des e-mails suspects
    • Communiquer les résultats de manière anonyme aux collaborateurs
    • Dispenser une formation en cybersécurité à tout ou partie de vos collaborateurs
    • Planifier une ou plusieurs nouvelles campagnes de phishing
    • Vérifier l'acquisition des bons réflexes
    maintenance informatique preventive
    • Cibler des groupes de collaborateurs
    • Aviser seulement quelques collaborateurs (qui ne font pas partie du groupe évalué)
    • Définir un objectif (liens malveillants, collecte de données via des formulaires web, pièces jointes infectées).
    • Sélectionner un scénario (e-mail d'un service interne ou externe à l'entreprise ou à l'organisation existante)
    • Créer des e-mails destinés à donner confiance aux collaborateurs et à les inciter à envoyer des informations telles que la mise à jour de mots de passe expirés ou la demande d'informations professionnelles
    • Envoyer les e-mails aux collaborateurs ciblés
    audit securite informatique

    Les étapes clés pour une campagne de phishing réussie

    A quoi doit servir votre campagne de simulation de phishing ? C’est la première question que vous devez vous poser. Pour ce faire, il est nécessaire d’identifier la menace informatique auquelle vous souhaitez sensibiliser vos employés :

    • liens malveillants
    • collecte de données via un faux formulaire web pour récupérer des données sensibles
    • pièce jointe infectée

    Une fois votre objectif déterminé, il est temps de choisir le scénario de simulation de phising pour tester vos collaborateurs.

    Il faudra privilégier le scénario d’hameçonnage qui pourrait le plus facilement se présenter dans le quotidien de vos utilisateurs.

    Voici 4 principaux types de scénarios de phishing :

    • se faire passer pour une marque
    • se faire passer pour un service interne ou externe à votre organisation
    • prendre un scénario prêt à l’emploi
    • concevoir un scénario depuis 0

    Nos certifications et expertises
    en cybersécurité

    Simulation de phishing - FAQ

    1 Qu’est-ce qu’une attaque de phising ?

    Une attaque de phishing ou d’hameçonnage est une tentative de vol d’informations ayant pour but d’accéder à un de mot de passe, un nom d’utilisateur, des numéros de carte de crédit ou autre.

    L’auteur de ce genre d’attaque peut vendre ou utiliser ces informations à d’autres fins, et peut utiliser de nombreuses méthodes trompeuses pour se les procurer. La plus courante est le fait d’inciter la victime à effectuer des actions, sans qu’elle ne se doute de rien. Ainsi, il l’attire en se faisant passer pour une source fiable et réputée avec des demandes importantes ou des offres intéressantes. La victime se fait donc piégée de la même manière qu’un pécheur attraperait un poisson avec un appât.

    2Comment reconnaître une attaque de phising ?

    Il existe de nombreux signes révélateurs qui permettent de repérer les attaques et de démasquer les faux courriels.

    • Le design : les faux sites n’arrivent pas à totalement imiter les sites officiels dans 15 % des cas, et vous pouvez voir les différences en juste comparant.
    • Des informations expirées : une tentative sur dix prévoit des messages ou des images qui ne sont plus d’actualité, et vous pouvez en déduire qu’il s’agit d’un hameçonnage, et non d’un email professionnel.
    • Les images : souvent, les images utilisés dans les faux sites sont floues, parce qu’elles sont téléchargées ou redimensionnées. Elles apparaissent ainsi comme déformées ou pixelisées.
    • Les erreurs grammaticales : un email professionnel peut paraître légitime et trompeur en la forme, mais il ne doit pas être mal écrit ! Ainsi, lorsque l’email comporte des fautes, dans la plupart des cas, il est un faux.
    • Une fausse adresse : lorsque l’adresse email contenant un message important ne comporte pas le nom de l’établissement officiel, ne l’ouvrez pas, il s’agit certainement d’un hameçonnage.
    3Quel recours en cas de phishing ?

    Lorsque vous êtes victime d’hameçonnage, les meilleures mesures à prendre sont les suivantes :

    • Contacter l’organisme concerné au moindre doute : lorsque vous n’êtes pas sûr de la fiabilité du mail, contactez directement l’expéditeur pour une confirmation.
    • Faire opposition : en cas de débits frauduleux sur votre compte ou en cas d’éléments sensibles communiqués malencontreusement, faites opposition immédiatement auprès de votre organisme financier et déposez plainte.
    • Déposer une plainte : le dépôt de plainte auprès du commissariat de police, de la gendarmerie ou encore auprès du procureur de la République peut vous protéger contre les éventuelles usurpations d’identité, et vous aider à obtenir justice.
    • Conserver les preuves : il s’agit principalement de l’email qui a servi d’hameçonnage, ainsi que de tout ce qui pourrait établir un lien avec votre attaque.
    • Changer de mot de passe : si votre mot de passe est compromis, changez-le immédiatement et faites un signalement auprès du site, du service ou de la plateforme concernée.
    • Signaler tous les messages douteux : même si vous n’êtes pas victime des attaques de phishing, signalez les tentatives auprès des organismes responsables de ces dernières, tels que Signal Spam, Phishing initiative, etc.
    4 Quelles sont les techniques de phishing ?

    Le phishing est une technique d’attaque informatique qui vise à tromper l’utilisateur en lui faisant croire qu’il communique avec une entité de confiance, telle qu’une entreprise, une organisation gouvernementale ou une institution financière, afin de voler des informations sensibles telles que des mots de passe, des informations de compte bancaire, des numéros de carte de crédit, etc. Voici quelques techniques courantes utilisées par les attaquants pour mener des attaques de phishing :

    1. E-mails de phishing : les attaquants envoient des e-mails qui semblent provenir d’une source de confiance, telle qu’une banque, un fournisseur de services de messagerie ou un site de commerce électronique, et demandent à l’utilisateur de fournir des informations personnelles telles que des identifiants de connexion ou des numéros de carte de crédit.

    2. Sites Web de phishing : les attaquants créent des sites Web qui ressemblent à des sites de confiance, tels que des banques ou des sites de commerce électronique, et demandent à l’utilisateur de saisir des informations sensibles. Ces sites peuvent être envoyés par e-mail ou découverts via une recherche en ligne.

    3. Hameçonnage par SMS : Les attaquants envoient des messages texte qui semblent provenir d’une source de confiance et demandent à l’utilisateur de répondre avec des informations personnelles ou de cliquer sur un lien malveillant.

    4. Hameçonnage vocal : Les attaquants utilisent des messages vocaux automatisés pour inciter les utilisateurs à rappeler un numéro de téléphone donné et à fournir des informations personnelles.

    5. Hameçonnage sur les réseaux sociaux : Les attaquants créent des faux profils sur les réseaux sociaux et envoient des messages directs ou des commentaires demandant des informations sensibles ou incitant à cliquer sur des liens malveillants.

    5 Comment vérifier un lien suspect sans l’ouvrir ?

    Il est recommandé d’être très prudent avant d’ouvrir un lien suspect, car cela peut conduire à l’installation de logiciels malveillants sur votre ordinateur ou la divulgation de vos informations personnelles à des tiers non autorisés. Voici quelques façons de vérifier un lien suspect sans l’ouvrir :

    1. Survolez le lien avec votre curseur : Si vous passez votre souris sur le lien suspect sans cliquer dessus, vous pouvez voir l’URL complète du lien dans la barre d’état en bas de votre navigateur. Cela vous permettra de voir le vrai domaine du site, et si cela ne correspond pas à l’entreprise ou à l’organisation supposée, il est probable que le lien soit une tentative de phishing.

    2. Utilisez un outil de vérification de lien : Il existe des outils en ligne qui vous permettent de vérifier la sécurité d’un lien suspect sans l’ouvrir. Par exemple, vous pouvez utiliser Google Safe Browsing ou VirusTotal pour vérifier si le lien est malveillant ou non.

    3. Utilisez un service de sandbox : Les services de sandbox vous permettent de tester un lien suspect dans un environnement isolé, ce qui vous permet de voir les conséquences de l’ouverture du lien sans risquer de compromettre votre ordinateur ou votre sécurité en ligne. Cependant, ces services ne sont pas toujours fiables à 100 % et peuvent ne pas être disponibles pour le grand public.

    1Quels sont les types de phishing ?

    Les attaques de phishing peuvent être de différents types, à cause de leurs cibles.   D’abord, il peut s’agit d’une attaque ciblée qui concerne une seule personne ou une entité précise. L’assaillant peut donc s’adresser directement à vous dans le but d’accéder à vos informations sensibles ou confidentielles. Ce genre d’email de phishing est difficile à reconnaitre, car l’auteur récolte souvent des informations personnelles vous concernant, et les utilise pour vous piéger.   Ensuite, il y a les attaques d’ingénierie sociale qui visent un large éventail de cibles. A titre d’exemple, l’auteur s’attaque à toute personne disposant d’un compte PayPal.

    2 Quels indices peuvent faire pensé qu'il s'agit d'une tentative de phishing ?

    Qu’il s’agisse de pièces jointes douteuses prétendant être une facture que vous avez déjà payée ou de messages « Mot de passe expiré » redirigeant vers une page de connexion étrange, les entreprises sont quotidiennement la cible d’innombrables types d’attaques de phishing, allant du plus évident au plus étonnamment authentique.

    Voici quelques conseils pour essayer de déterminer si l’e-mail ou le message que vous avez reçu est une tentative de phishing et ce que vous pouvez faire pour l’éviter :

    • Vérifiez l’URL du lien : Les attaques de phishing utilisent des liens très similaires aux URL des sites authentiques. Ceux qui sont familiers avec le Web les reconnaissent généralement facilement, mais les moins expérimentés peuvent les confondre avec des liens officiels.
    • Méfiez-vous des liens commençant par l’adresse IP : L’adresse IP est une étiquette numérique qui identifie de manière unique un appareil connecté à un réseau informatique. Donc si le lien commence par une succession de chiffres, soyez prudent et rappelez-vous que les banques et les institutions n’utilisent jamais de liens de ce type.
    • Ne remplissez jamais les champs d’un e-mail : Si les champs à remplir se trouvent dans le mail, arrêtez-vous maintenant ! Aucune banque ou institution ne vous enverra un e-mail pour faire une telle chose.
    • N’ouvrez pas les pièces jointes que vous n’avez pas demandées ou que vous ne connaissez pas : Mieux vaut une série d’appels téléphoniques de plus que de se faire arnaquer. Appelez le service client de l’organisation et demandez s’ils envoient des messages ou des e-mails similaires à ceux que vous avez reçus.
    • Ne révélez vos mots de passe à personne et changez-les souvent : il s’agit d’une mesure importante pour réduire le risque d’une violation de données personnelles.
    3Combien de simulation de phishing par an ?

    Les simulations d’hameçonnage doivent être exécutées dans le cadre d’une campagne continue afin de vous aider à évaluer les risques à un stade précoce, puis, au fil du temps, à mesurer le succès de vos efforts pour réduire la sensibilité à ces menaces.

    Essayez de vous assurer que chaque membre du personnel reçoit une simulation de phishing au moins une fois par trimestre pour aider à suivre les risques tout en maintenant l’éducation à un niveau élevé, sans exagérer et ennuyer les gens. Cela sera le meilleur moyen de sensibiliser à la cybersécurité.

    4 Quelles sont les conséquences du phishing sur la personne qui en est victime ?

    Les conséquences du phishing peuvent être graves pour les personnes qui en sont victimes. Voici quelques-unes des conséquences les plus courantes :

    1. Perte d’argent : Les attaques de phishing sont souvent conçues pour voler de l’argent, notamment en obtenant les informations de carte de crédit ou de compte bancaire de la victime. Les fraudeurs peuvent ensuite utiliser ces informations pour effectuer des transactions frauduleuses ou vider le compte bancaire de la victime.

    2. Vol d’identité : Les attaques de phishing peuvent également conduire au vol d’identité, ce qui signifie que les fraudeurs obtiennent suffisamment d’informations personnelles pour usurper l’identité de la victime. Cela peut entraîner des problèmes financiers à long terme, y compris des dettes et des problèmes de crédit.

    3. Perte de données personnelles : Les attaques de phishing peuvent également compromettre les données personnelles de la victime, telles que des adresses e-mail, des mots de passe et des informations de contact. Les fraudeurs peuvent utiliser ces informations pour cibler davantage la victime ou pour vendre ces informations sur le marché noir.

    4. Perte de temps : Si une personne est victime d’une attaque de phishing, elle devra souvent passer du temps à contacter les autorités compétentes et les fournisseurs de services pour signaler le problème et récupérer les données perdues.

    5 Quels sont les scénario d'une simulation de phishing ?

    Il existe plusieurs scénarios possibles pour une simulation de phishing, en voici quelques-uns :

    1. E-mails de phishing : Les e-mails de phishing sont l’un des scénarios les plus courants pour une simulation d’attaque de phishing. Les attaquants peuvent envoyer des e-mails trompeurs qui ressemblent à des messages légitimes de l’entreprise ou de l’organisation, demandant à la victime de cliquer sur un lien ou de fournir des informations personnelles.

    2. Sites de phishing : Dans ce scénario, les attaquants créent des sites web qui ressemblent à des sites web légitimes, tels que des sites de banques ou de réseaux sociaux. Les victimes sont ensuite dirigées vers ces sites via des e-mails de phishing, des publicités ou des liens malveillants.

    3. Appels de phishing : Dans une simulation d’attaque de phishing par appel téléphonique, les fraudeurs peuvent appeler les victimes en se faisant passer pour des représentants d’une entreprise ou d’une organisation légitime, tels qu’une banque ou un service gouvernemental. Ils peuvent ensuite demander des informations personnelles ou demander à la victime de se connecter à un site web pour effectuer une tâche donnée.

    4. Textes de phishing : Les textes de phishing sont des messages trompeurs envoyés par SMS ou par messagerie instantanée. Ils peuvent ressembler à des messages d’une entreprise ou d’une organisation légitime, demandant à la victime de cliquer sur un lien ou de fournir des informations personnelles.

    Tout savoir pour
    renforcer sa cybersécurité

    Demander un devis gratuit pour votre
    projet de cybersécurité