A l’heure du GDPR, les attaques de phishing pour dérober frauduleusement les accès et mots de passe, et les données qui se trouvent derrière, sont plus dangereuses que jamais. Des entreprises organisent de fausses attaques de phishing, pour mesurer le niveau de vigilance de leurs collaborateurs.

Le phishing, ou hameçonnage, est une technique qu’utilisent les fraudeurs pour obtenir des renseignements personnels, dans le but de perpétrer ensuite une usurpation d’identité.

Elle consiste à emmener la victime sur un site qui contrefait celui d’un tiers de confiance : la banque, une administration, un fournisseur… La victime saisit ses codes personnels, et ces derniers sont récupérés par les fraudeurs. L’attaque peut être réalisée via un simple email, voire par SMS.

Pour mieux défendre leurs données, des entreprises ont massivement investi dans la sensibilisation et la formation de leurs collaborateurs. Certaines organisent des simulations d’attaques par phishing, de façon à tester le niveau de maturité des utilisateurs. Avec parfois des surprises.

Un test édifiant

Sylvain Moussé, CIO de Cegid, témoigne : « Nous sommes attaqués des centaines de fois par jour. Le phishing, c’est tout le temps, via des liens ou des pièces jointes. Chez nous comme partout, c’est toujours le maillon le plus faible qui est visé ; et le maillon le plus faible, c’est toujours les collaborateurs ». Il décide d’organiser un test.

15 jours après une formation, nous avons monté une fausse tentative de phishing. Le « fraudeur-mystère » demandait de cliquer, puis de donner un mot de passe. Les résultats ont été édifiants… Ensuite, le débriefing a provoqué une forte prise de conscience interne, à tous les niveaux. Nous reconduirons l’expérience !

C’est aussi par un test qu’a commencé l’initiative de Jeremy Fareau, Responsable de la sécurité informatique du groupe Euler Hermes.

Un process à mettre en place

Partagé avec le comité exécutif, le résultat de ce premier test, qui portait sur un mail de phishing plutôt grossier, a retenti comme un signal d’alarme : 20% des utilisateurs avaient cliqué où il ne fallait pas !

« La messagerie électronique demeure la première porte d’entrée des risques principaux d’infection. En plus des tentatives de phishing, c’est par là qu’entrent les ransomwares, les liens malveillants et les pièces jointes dangereuses », commente Jeremy Fareau. Il fallait agir sans attendre.

Décision a été prise de sensibiliser les employés en leur montrant la menace. Se mettant à la place des hackers, l’équipe de l’informaticien écrit les mails de phishing qui sont employés dans les simulations. Un outil d’automatisation et de reporting, PhishMe, a été mis en place. Et la vigilance des équipes est régulièrement testée (entre 12 et 15 stimulations de phishing par an), sur des scenarios sans cesse renouvelés.

Le process de signalement nécessite d’être simple pour être suivi ; c’est la raison pour laquelle Jeremy a déployé un bouton d’alerte directement intégré à l’Outlook des collaborateurs. Il ouvre une voie directe, simple et sécurisée, pour communiquer ses doutes – et les mails correspondants.

Les indicateurs à suivre

Le taux de clic sur le lien : un taux de clic de 20% n’est pas rare encore aujourd’hui ; un test conduit en octobre 2017 par Bercy sur ses 145,000 fonctionnaires dépasse même ce chiffre. Pour autant, une politique suivie de sensibilisation par la simulation d’attaque apporte des améliorations spectaculaires. Ainsi, témoigne Jeremy Fareau, sur des liens basiques et mal présentés, on peut descendre jusqu’à seulement 2 ou 3%, soit 10 fois moins que deux ans auparavant.
Les informations entrées sur le faux site : la quantité et le niveau de confidentialité des données entrées.
Le nombre de signalements : l’usage de la procédure (et/ou du bouton) de signalement constitue un bon indicateur de la vigilance et de l’engagement.

Une nouvelle source de dialogue

L’importance de la menace et la possibilité de mesurer les performances de tous et de chacun face à une attaque réussie constituent de solides sujets de conversation, à tous niveaux.

  • Directorial : le comité exécutif, dont le DAF, peut suivre les résultats des tests ;
  • Interservices : un sujet de conversation et d’échanges, entre services et entre générations, voire un objet… de compétition !
  • Individuel : le process offre la possibilité d’organiser des sessions de sensibilisation ou de formation individuelle, sur la base de l’observation des comportements récidivistes.

Les simulations de phishing constituent ainsi un excellent moyen d’installer durablement dans l’ADN de l’entreprise la vigilance vis-à-vis de la cyberfraude.

7 conseils pour lutter contre le phishing

  1. Établissez un programme de formation pour tous les collaborateurs en poste et les nouvelles recrues.
  2. Créez une adresse e-mail du type : phishing@votreentreprise.com. Expliquez la procédure de signalement.
  3. Planifiez les envois de simulations de phishing. Par exemple, une fois par mois par groupe test.
  4. Élaborez les scénarios de vos e-mails de phishing et planifiez leurs envois sur 12 mois. Inspirez-vous de l’actualité, ou d’authentiques emails de phishing.
  5. Suivez les KPIs : clics, données, signalements.
  6. Détectez les lacunes individuelles. Observez plus précisément les départements ou les personnes qui cliquent le plus sur les liens. Une formation individualisée peut s’avérer nécessaire.
  7. Adressez un e-mail de suivi dans les jours qui suivent la simulation de phishing. Expliquez le choix du scénario. Indiquez les éléments qui auraient dû attirer l’attention, et rappelez ce que vous attendez de vos collaborateurs.