Une simulation de phishing est un exercice de cybersécurité qui teste la capacité d’une entreprise à reconnaître une attaque par hameçonnage et à y répondre.

Une attaque par hameçonnage est un e-mail, un SMS ou un message vocal frauduleux conçu pour inciter leurs destinataires à télécharger des logiciels malveillants (tels que des ransomwares), à révéler des informations sensibles (telles que des noms d’utilisateur, des mots de passe ou des informations de carte bancaire) ou à envoyer de l’argent aux mauvaises personnes.

Au cours d’une simulation de phishing, les employés reçoivent des e-mails (ou des SMS, ou des appels téléphoniques) simulant une tentative d’hameçonnage réelle. Les messages utilisent les mêmes tactiques d’ingénierie sociale (par exemple, usurper l’identité d’une personne que le destinataire connaît ou en qui il a confiance, créer un sentiment d’urgence) pour gagner la confiance du destinataire et l’inciter à agir de façon peu judicieuse. La seule différence, c’est que les destinataires qui mordent à l’hameçon (par exemple, en cliquant sur un lien malveillant, en téléchargeant une pièce jointe malveillante, en saisissant des informations dans une page de destination frauduleuse ou en traitant une fausse facture) échouent tout simplement au test, sans impact négatif sur l’organisation.

Dans certains cas, les employés qui cliquent sur le faux lien malveillant sont redirigés vers une page de destination indiquant qu'ils ont été victimes d’une attaque de phishing simulée, avec des informations sur la façon de mieux repérer les escroqueries par hameçonnage et autres cyberattaques à l’avenir. Après la simulation, les organisations obtiennent également des indicateurs sur les taux de clics des employés, et elles poursuivent souvent avec une formation supplémentaire de sensibilisation au phishing.

Les statistiques récentes montrent que les menaces liées au phishing continuent d’augmenter. Depuis 2019, le nombre d’attaques par hameçonnage a augmenté de 150 % par an, l’Anti-Phishing Working Group (APWG) ayant fait état d’un nombre record d’attaques par phishing en 2022, enregistrant plus de 4,7 millions de sites d’hameçonnage. Selon Proofpoint, 84 % des organisations ont été victimes d’au moins une attaque par phishing réussie en 2022.

Étant donné que même les passerelles de messagerie et outils de sécurité les plus efficaces ne peuvent pas protéger les entreprises contre toutes les campagnes de phishing, celles-ci se tournent de plus en plus vers les simulations d’hameçonnage. Des simulations bien conçues permettent d’atténuer l’impact des attaques par hameçonnage de deux manières importantes. Les simulations fournissent des informations dont les équipes de sécurité ont besoin pour former les employés à mieux reconnaître et éviter les attaques par hameçonnage réelles. Elles aident également les équipes de sécurité à identifier les vulnérabilités, à améliorer la réponse globale aux incidents et à réduire le risque de violations de données et de pertes financières en cas de tentative d’hameçonnage réussie.

Les tests de phishing font généralement partie d’une formation plus large de sensibilisation à la sécurité menée par les services informatiques ou les équipes de sécurité.

Ce processus implique généralement cinq étapes :

1. Planification : Les organisations commencent par définir leurs objectifs et leur portée, en décidant du type d’e-mail de phishing à utiliser et de la fréquence des simulations. Elles déterminent également le public cible, notamment en segmentant des groupes ou des départements spécifiques et, souvent, des cadres dirigeants. 
2. Rédaction : Après avoir élaboré un plan, les équipes de sécurité créent des e-mails de phishing fictifs réalistes, ressemblant de près à de véritables menaces d’hameçonnage, souvent calqués sur ceux des modèles et des kits de phishing disponibles sur le dark web. Elles portent une attention particulière aux détails tels que les lignes d’objet, les adresses d’expéditeurs et le contenu pour réaliser des simulations d’hameçonnage réalistes. Elles utilisent également des tactiques d’ingénierie sociale, notamment l’usurpation de l’identité d’un dirigeant ou d’un collègue qui devient l’expéditeur, afin d’augmenter la probabilité que les employés ouvrent les e-mails.
3. Envoi : Une fois le contenu finalisé, les équipes informatiques ou les fournisseurs externes envoient les e-mails de simulation de phishing au public cible par des moyens sécurisés, en gardant la confidentialité à l’esprit.
4. Surveillance : Après avoir envoyé les faux e-mails malveillants, les responsables les suivent de près et enregistrent la façon dont les employés interagissent avec eux. Ils vérifient s’ils cliquent sur les liens, s’ils téléchargent les pièces jointes ou s’ils fournissent des informations sensibles.
5. Analyse : Après le test de phishing, les responsables informatiques analysent les données de la simulation pour déterminer des tendances telles que les taux de clics et les vulnérabilités en matière de sécurité. Ils s’occupent ensuite des employés ayant échoué à la simulation en leur fournissant un retour immédiat, en leur expliquant comment ils auraient pu identifier correctement la tentative de phishing et comment éviter de tomber dans le piège de véritables attaques à l’avenir.

Une fois ces étapes franchies, de nombreuses organisations rédigent un rapport complet résumant les résultats de la simulation de phishing, qu’elles partagent avec les parties prenantes concernées. Certaines utilisent également ces informations pour améliorer leur formation de sensibilisation à la sécurité avant de répéter le processus régulièrement. Il s’agit de mieux sensibiliser leurs employés à la cybersécurité et de garder une longueur d’avance sur l’évolution des cybermenaces.

Lorsqu’elles mènent une campagne de simulation d’hameçonnage, les organisations doivent tenir compte des points suivants.

• Fréquence et variété des tests : De nombreux experts suggèrent d’effectuer régulièrement des simulations d’hameçonnage tout au long de l’année en utilisant différents types de techniques de phishing. Cette fréquence et cette variété accrues peuvent contribuer à renforcer la sensibilisation à la cybersécurité tout en veillant à ce que tous les employés restent vigilants face à l’évolution des menaces liées au phishing.
• Contenu et méthodes : En ce qui concerne le contenu, les organisations devraient développer des e-mails de simulation de phishing qui ressemblent à des tentatives d’hameçonnage réalistes. L’une des façons d’y parvenir consiste à utiliser des modèles d’attaques par phishing inspirés de types d’attaques populaires ciblant les employés. Par exemple, un modèle peut se concentrer sur la compromission des e-mails professionnels (BEC) , également appelée fraude au PDG, un type de phishing ciblé dans lequel les cybercriminels imitent les e-mails de l’un des cadres supérieurs de l’organisation pour inciter les employés à divulguer des informations sensibles ou à transférer des sommes d’argent importantes à un fournisseur présumé. Tout comme les cybercriminels qui lancent des escroqueries BEC réelles, les équipes de sécurité concevant la simulation doivent faire des recherches minutieuses sur l’expéditeur et les destinataires pour rendre l’e-mail crédible.
• Timing : Le moment idéal pour effectuer une simulation d’hameçonnage reste une source de débat permanent. Certaines organisations préfèrent déployer les tests avant que les employés ne suivent une formation de sensibilisation à l’hameçonnage afin d’établir une base de référence et de mesurer l’efficacité des futures solutions de simulation de phishing. D’autres préfèrent attendre que leurs employés aient suivi une formation de sensibilisation à l’hameçonnage pour tester l’efficacité du module et voir si les employés signalent correctement les incidents liés au phishing. Le timing d’une simulation d’hameçonnage dépend des besoins et des priorités de l’organisation.
• Suivi de formation : Quel que soit le moment choisi par les organisations pour effectuer leur test d’hameçonnage, celui-ci fait généralement partie d’un programme de sensibilisation à la sécurité plus vaste et plus complet. La formation de suivi permet aux employés qui ont échoué au test de se sentir soutenus plutôt que simplement piégés. Elle fournit des connaissances et propose des mesures incitatives pour identifier les e-mails suspects ou les attaques réelles à l’avenir.
• Suivi des progrès et des tendances : Après les simulations, les organisations doivent mesurer et analyser les résultats de chaque test de simulation d’hameçonnage. Cela permet d’identifier les domaines à améliorer, et également les employés spécifiques pouvant avoir besoin d’une formation supplémentaire. Les équipes de sécurité doivent également se tenir au courant des dernières tendances et tactiques d’hameçonnage afin de pouvoir tester les employés en les confrontant à des menaces réelles pertinentes à la prochaine simulation.

Les simulations de phishing et les formations de sensibilisation à la sécurité sont des mesures préventives importantes, mais les équipes de sécurité ont également besoin de capacités de détection des menaces et de réponse de pointe pour atténuer l’impact des campagnes de phishing réussies.