Qu'est-ce qu'une simulation de phishing ?
Publié le: 9 Août 2022
Dernière modification le: 8 Sep 2025
Le phishing est un problème grave pour les entreprises de toutes tailles et de tous secteurs. Mais qu’est-ce qu’une simulation de phishing ? Une simulation de phishing est un exercice de formation conçu pour sensibiliser les employés aux attaques de phishing en imitant des scénarios réels. En utilisant ces exercices de simulation de phishing, une organisation peut prendre le contrôle de cette menace insidieuse, en améliorant sa capacité à identifier les tentatives de phishing et à y répondre efficacement.
Les cybercriminels adorent hameçonner les employés pour voler leurs identifiants et leurs données, et infecter les entreprises avec des ransomwares. Le rapport sur les tendances de l’activité de phishing de l’Anti-Phishing Working Group (APWG) montre que le phishing a atteint un niveau record au deuxième trimestre 2022. En outre, ces attaques ont montré une augmentation de 7 % des vols d’informations d’identification contre les employés des entreprises.
Le résultat est souvent catastrophique lorsqu’un mot de passe ou d’autres données sont volés : à la suite d’une attaque de phishing, le ministère américain de la défense a remis 23,5 millions de dollars (19,3 millions de livres sterling) à un cybercriminel; l’Open University de Londres a subi plus d’un million d’attaques de phishing en neuf mois, ce qui a entraîné des perturbations massives, et la liste est loin d’être exhaustive.
Pourquoi les programmes de simulation d’hameçonnage sont-ils importants ?
Le phishing est sans doute l’un des outils les plus efficaces de l’arsenal cybercriminel pour obtenir des informations sensibles. Un rapport de RiskIQ sur les pertes dues à la cybercriminalité a révélé que 17 700 dollars (14 500 livres sterling) par minute étaient perdus à cause d’attaques par hameçonnage.
Le phishing est une méthode astucieuse d’ingénierie sociale qui incite les employés et autres utilisateurs à faire des choses qui profitent au pirate. Les cybercriminels ont largement recours à l’hameçonnage, et 83 % des organisations seront visées par des attaques de ce type en 2021.
Au fil du temps, les pirates à l’origine des courriels d’hameçonnage deviennent conscients des systèmes logiciels automatisés qui empêchent l’hameçonnage, tels que les plates-formes anti-spam/passerelles de messagerie. Par conséquent, les pirates modifient le mode de fonctionnement des escroqueries par hameçonnage et le contenu de ces courriels de manière à ce qu’ils puissent échapper aux passerelles de messagerie.
Par exemple, un rapport analysant 55,5 millions de courriels envoyés à Microsoft Office 365 a révélé que 25 % des courriels de phishing contenant des pièces jointes malveillantes étaient autorisés à passer par la passerelle de messagerie intégrée à Office 365. Il est donc difficile de prévenir les courriels de phishing, qui se retrouvent dans la boîte de réception d’un employé peu méfiant, prêts à l’inciter à fournir ses identifiants de connexion ou à installer un logiciel malveillant.
Cependant, cet employé peu méfiant peut devenir un employé cyber-savant, bien informé et conscient de la sécurité grâce à des exercices réguliers de simulation d’hameçonnage.
Que se passe-t-il lors d’une attaque par simulation de phishing ?
Les attaques de phishing simulées sont conçues pour ressembler exactement à une tentative de phishing réelle. Une plateforme de simulation d’hameçonnage est utilisée pour générer des courriels d’hameçonnage simulés dans le cadre d’une campagne de sensibilisation à la sécurité. Les employés et tout autre groupe d’utilisateurs ayant besoin d’une formation de sensibilisation à la sécurité devraient recevoir ces courriels de simulation d’hameçonnage.
La plateforme de test d’hameçonnage interagira avec l’utilisateur pour le former aux dangers de l’hameçonnage. Cependant, la plateforme doit également enregistrer et vérifier ce qui se passe lorsque l’utilisateur reçoit l’e-mail de phishing simulé. Par exemple, l’utilisateur ouvre-t-il le courriel, clique-t-il sur un lien ou télécharge-t-il une pièce jointe, etc.
Ces événements sont enregistrés et des rapports sont générés qui peuvent être utilisés pour évaluer le succès de la formation à la sensibilisation à la sécurité et les domaines qui doivent être améliorés.
Caractéristiques principales du meilleur logiciel de simulation de phishing
Les logiciels avancés de simulation d’hameçonnage doivent présenter plusieurs caractéristiques importantes :
Imite de vrais courriels de phishing
Le système doit créer des courriels d’hameçonnage réalistes qui reflètent les campagnes d’hameçonnage actuelles observées dans la vie réelle.
Fournir un large choix de modèles
La plateforme de simulation d’hameçonnage doit être fournie avec un grand nombre de modèles qui peuvent être utilisés pour concevoir un courriel d’hameçonnage réaliste. Les modèles doivent pouvoir être configurés pour correspondre à des marques connues et créer des noms de domaine et des URL similaires.
Peut être adapté pour refléter les rôles
Les fraudeurs sont connus pour cibler des fonctions organisationnelles spécifiques, telles que les ressources humaines et les comptes fournisseurs. Les cadres sont également un groupe cible et devraient être impliqués dans les exercices de simulation d’hameçonnage car des cyberattaques spécifiques telles que Business Email Compromise peuvent affecter les cadres supérieurs. Par conséquent, les messages de phishing simulés doivent être adaptés à des groupes d’employés.
Apprentissage en fonction des besoins
Les gens apprennent mieux lorsqu’ils sont impliqués et qu’ils vivent une expérience d’apprentissage interactive. Une plateforme qui offre un apprentissage au moment opportun permet aux employés d’apprendre de leurs erreurs. Par exemple, les employés recevront une notification d’avertissement s’ils cliquent sur un lien malveillant.
Une expérience interactive permet d’expliquer ce qui s’est passé et les dangers associés à un courriel d’hameçonnage. Certains systèmes avancés vont plus loin et enseignent à l’employé des stratégies d’évitement pour l’aider à prévenir les futures tentatives de phishing.
Fournit des options linguistiques
De nombreuses entreprises emploient du personnel dont l’anglais est la deuxième langue ou ont des bureaux dans des pays non anglophones. Par conséquent, les modèles de courriels d’hameçonnage simulés doivent être en mesure d’offrir une assistance dans d’autres langues.
Audit et rapports
Les paramètres d’un exercice de simulation d’hameçonnage sont essentiels car ils donnent un aperçu de la progression de la formation à la sensibilisation à la sécurité. En outre, les mesures indiquent combien d’employés sont vulnérables aux attaques de phishing.
Certains systèmes avancés fournissent une ventilation granulaire des mesures de phishing afin d’analyser des départements et des groupes d’utilisateurs spécifiques. Les rapports générés à partir de ces mesures démontrent l’efficacité d’un programme de simulation d’hameçonnage et identifient les points faibles dans la compréhension par le personnel de ce qu’implique l’hameçonnage.
Quelle est l’efficacité des simulations d’hameçonnage ?
Selon une étude de Cisco, les courriels d’hameçonnage sont difficiles à repérer, 86 % des entreprises ayant au moins un employé qui a cliqué sur un lien malveillant. Il suffit qu’un employé clique sur un lien et entre ses identifiants de connexion sur un faux site web pour ouvrir les portes de votre réseau. Les simulations de phishing permettent de minimiser le risque de ce clic désastreux.
À quelle fréquence devriez-vous envoyer une simulation de phishing ?
Une étude de l’USENIX sur la longévité de la formation à la sensibilisation à la sécurité a révélé que les employés pouvaient encore repérer les courriels d’hameçonnage quatre mois après la formation initiale. Cependant, au bout de six mois, les employés ont perdu la capacité de repérer les courriels malveillants.
Le rapport souligne également que les vidéos et les formations interactives produisent les résultats les plus durables, ce niveau de formation se prolongeant pendant six mois. Le rapport recommande donc que la formation soit dispensée tous les six mois. En outre, des simulations régulières d’hameçonnage sont une bonne idée, car le paysage de la sécurité a tendance à changer fréquemment.
