Attaques par hameçonnage simulées : qu’est-ce qu’une simulation de phishing ?

L'hameçonnage (phishing) est un problème sérieux pour les entreprises de toutes tailles et de tous secteurs. En utilisant des exercices de simulation de phishing, une organisation peut prendre le contrôle de cette menace insidieuse.

Les cybercriminels adorent hameçonner les employés pour voler leurs identifiants et leurs données, et infecter les entreprises avec des rançongiciels (ransomwares). Le rapport sur les tendances de l'activité de phishing de l'Anti-Phishing Working Group (APWG) montre que l'hameçonnage a atteint un niveau record au deuxième trimestre 2022. En outre, ces attaques ont montré une augmentation de 7 % des vols d'informations d'identification contre les employés des entreprises.

Le résultat est souvent catastrophique lorsqu'un mot de passe ou d'autres données sont volés : à la suite d'une attaque de phishing, le ministère américain de la défense a remis 23,5 millions de dollars (19,3 millions de livres sterling) à un cybercriminel; l'Open University de Londres a subi plus d'un million d'attaques par hameçonnage en neuf mois, ce qui a entraîné des perturbations massives, et la liste est loin d'être exhaustive.

Pourquoi les programmes de simulation de phishing sont-ils importants ?

Le phishing est sans doute l'un des outils les plus efficaces de l'arsenal cybercriminel pour obtenir des informations sensibles. Un rapport de RiskIQ sur les pertes dues à la cybercriminalité a révélé que 17 700 dollars (14 500 livres sterling) par minute étaient perdus à cause d'attaques par hameçonnage.

Le phishing est une méthode astucieuse d'ingénierie sociale qui incite les employés et les autres utilisateurs à faire des choses qui profitent au pirate. Les cybercriminels ont largement recours à l'hameçonnage, et 83 % des organisations seront visées par des attaques de ce type en 2021.

Au fil du temps, les pirates à l'origine des courriels de phishing comprennent les systèmes logiciels automatisés qui empêchent l'hameçonnage, tels que les plateformes anti-spam/passerelles de messagerie. Par conséquent, les pirates modifient le mode de fonctionnement des escroqueries par hameçonnage et le contenu de ces courriels afin qu'ils puissent échapper aux passerelles de messagerie.

Par exemple, un rapport analysant 55,5 millions de courriels envoyés à Microsoft Office 365 a révélé que 25 % des courriels d'hameçonnage contenant des pièces jointes malveillantes étaient autorisés à passer par la passerelle de messagerie intégrée à Office 365. Il est donc difficile de prévenir les courriels de phishing, qui se retrouvent dans la boîte de réception d'un employé peu méfiant, prêts à l'inciter à fournir ses identifiants de connexion ou à installer un logiciel malveillant.

Cependant, cet employé peu méfiant peut devenir un employé cyber-savant, bien informé et conscient de la sécurité en utilisant régulièrement des exercices de simulation de phishing.

À lire aussi : Sensibilisation phishing : qu’est-ce que l’hameçonnage en entreprise ?

Que se passe-t-il lors d'une attaque de simulation de phishing ?

Les attaques de phishing simulées sont conçues pour ressembler exactement à une tentative de phishing réelle. Une plateforme de phishing simulé est utilisée pour générer des e-mails de phishing dans le cadre d'une campagne de formation dédiée à la sensibilisation à la cybersécurité. Les employés ou tout autre type d'utilisateur ayant besoin d'une formation de cybersensibilisation devraient recevoir ces e-mails d'hameçonnage simulé.

La plateforme de simulation d'hameçonnage interagira avec l'utilisateur pour le former aux dangers du phishing. Cependant, la plateforme d'hameçonnage simulé doit également enregistrer et vérifier ce qui se passe lorsque l'utilisateur reçoit l'e-mail de phishing. Par exemple, l'utilisateur ouvre-t-il le courriel, clique-t-il sur un lien ou télécharge-t-il une pièce jointe, etc.

Ces événements sont enregistrés et les rapports générés peuvent être utilisés pour évaluer le succès de la formation à la sensibilisation à la cybersécurité, ainsi que les domaines à améliorer.

Principales caractéristiques des meilleurs logiciels de simulation d'hameçonnage (simulateurs de phishing)

Un logiciel de simulation de phishing, ou simulateur de phishing, avancé doit présenter plusieurs caractéristiques importantes :

Une bonne simulation de phishing doit imiter de vrais e-mails d'hameçonnage

Le système doit créer des courriels d'hameçonnage réalistes, qui reflètent les campagnes de phishing actuelles et observées dans la vie réelle.

Un bon logiciel de simulation d'hameçonnage doit fournir un large choix de modèles

La plateforme de simulation d'hameçonnage doit être fournie avec un large éventail de modèles pouvant être utilisés pour concevoir un courriel d'hameçonnage d'apparence réaliste. Les modèles doivent être configurables pour correspondre à des marques connues et créer des noms de domaine et des URL "similaires".

Une bon simulateur de phishing peut être adapté pour refléter les différents rôles au sein de l'entreprise

Les fraudeurs sont connus pour cibler des fonctions organisationnelles spécifiques, telles que les ressources humaines et la comptabilité. Les cadres sont également un groupe cible et devraient être impliqués dans les exercices de simulation d'hameçonnage car des cyberattaques spécifiques telles que les BEC (Business Email Compromise) peuvent affecter les cadres supérieurs. Les messages de phishing simulés doivent donc être adaptés aux groupes d'employés visés.

À lire aussi : Élaboration d’un programme de sensibilisation à la cybersécurité destiné aux cadres supérieurs | Les avantages d’une formation de sensibilisation à la cybersécurité basée sur les rôles

Apprentissage interactif : attaques par hameçonnage simulées au moment opportun

Les gens apprennent mieux lorsqu'ils sont impliqués et qu'ils vivent une expérience d'apprentissage interactive. Une plateforme qui offre une formation cybersécurité à distance au moment opportun permet aux employés d'apprendre de leurs erreurs. Par exemple, les employés recevront une notification d'avertissement s'ils cliquent sur un lien malveillant.

Une expérience interactive "au point de besoin" permet d'expliquer ce qui s'est passé et les dangers associés à un courriel de phishing. Certains systèmes avancés iront plus loin et apprendront à l'employé des stratégies d'évitement pour l'aider à prévenir de futures tentatives de phishing.

Simulation de phishing en différentes langues

De nombreuses entreprises emploient du personnel dont l'anglais est la deuxième langue ou ont des bureaux dans des pays non anglophones. Par conséquent, les modèles d'e-mails de phishing simulés doivent pouvoir offrir un support dans d'autres langues.

Audit et rapports sur les simulations d'attaque par hameçonnage

Les mesures d'un exercice de simulation d'attaque par hameçonnage sont essentielles car elles donnent un aperçu de la progression de la formation de sensibilisation à la cybersécurité. En outre, les résultats détaillent le nombre d'employés vulnérables aux attaques de phishing.

Certains simulateurs de phishing avancés fournissent des analyses granulaires des simulations de phishing par département ou par groupes d'utilisateurs spécifiques. Les rapports issus de ces mesures démontrent l'efficacité d'un programme de simulation de phishing et mettent en évidence les lacunes dans la compréhension du personnel concernant les implications des attaques par hameçonnage.

Quelle est l'efficacité des simulations de phishing ?

Selon une enquête de Cisco, les courriels de phishing sont difficiles à repérer. Dans 86 % des entreprises, au moins un employé a cliqué sur un lien malveillant. Et il suffit qu'un employé clique sur un lien et saisisse des informations de connexion à un site Web frauduleux pour ouvrir les portes de votre réseau. Les simulations de phishing offrent un moyen de minimiser le risque de ce clic désastreux.

À lire aussi : Comment mener avec succès une campagne de simulation de phishing ?

À quelle fréquence devez-vous envoyer une simulation de phishing ?

Une étude de l'USENIX sur la longévité de la formation à la sensibilisation à la cybersécurité a révélé que les employés pouvaient encore repérer les courriels d'hameçonnage quatre mois après la formation initiale. Cependant, au bout de six mois, les employés avaient perdu la capacité de repérer les courriels malveillants.

Le rapport souligne également que les vidéos et les formations interactives produisent les résultats les plus durables, offrant une efficacité supplémentaire pendant six mois. Cette étude recommande donc de procéder à une formation tous les six mois. De plus, il est essentiel d'effectuer régulièrement des simulations de phishing, car le paysage de la cybersécurité évolue fréquemment.

Découvrez dès maintenant le simulateur phishing de MetaCompliance pour renforcer la sécurité de votre entreprise ! Cliquez ici pour en savoir plus sur Metaphish.