Une simulation de phishing est un exercice de cybersécurité qui teste la capacité d’une entreprise à reconnaître une attaque par hameçonnage et à y répondre.
Une attaque par hameçonnage est un e-mail, un SMS ou un message vocal frauduleux conçu pour inciter leurs destinataires à télécharger des logiciels malveillants (tels que des ransomwares), à révéler des informations sensibles (telles que des noms d’utilisateur, des mots de passe ou des informations de carte bancaire) ou à envoyer de l’argent aux mauvaises personnes.
Au cours d’une simulation de phishing, les employés reçoivent des e-mails (ou des SMS, ou des appels téléphoniques) simulant une tentative d’hameçonnage réelle. Les messages utilisent les mêmes tactiques d’ingénierie sociale (par exemple, usurper l’identité d’une personne que le destinataire connaît ou en qui il a confiance, créer un sentiment d’urgence) pour gagner la confiance du destinataire et l’inciter à agir de façon peu judicieuse. La seule différence, c’est que les destinataires qui mordent à l’hameçon (par exemple, en cliquant sur un lien malveillant, en téléchargeant une pièce jointe malveillante, en saisissant des informations dans une page de destination frauduleuse ou en traitant une fausse facture) échouent tout simplement au test, sans impact négatif sur l’organisation.
Dans certains cas, les employés qui cliquent sur le faux lien malveillant sont redirigés vers une page de destination indiquant qu'ils ont été victimes d’une attaque de phishing simulée, avec des informations sur la façon de mieux repérer les escroqueries par hameçonnage et autres cyberattaques à l’avenir. Après la simulation, les organisations obtiennent également des indicateurs sur les taux de clics des employés, et elles poursuivent souvent avec une formation supplémentaire de sensibilisation au phishing.
Les statistiques récentes montrent que les menaces liées au phishing continuent d’augmenter. Depuis 2019, le nombre d’attaques par hameçonnage a augmenté de 150 % par an, l’Anti-Phishing Working Group (APWG) ayant fait état d’un nombre record d’attaques par phishing en 2022, enregistrant plus de 4,7 millions de sites d’hameçonnage. Selon Proofpoint, 84 % des organisations ont été victimes d’au moins une attaque par phishing réussie en 2022.
Étant donné que même les passerelles de messagerie et outils de sécurité les plus efficaces ne peuvent pas protéger les entreprises contre toutes les campagnes de phishing, celles-ci se tournent de plus en plus vers les simulations d’hameçonnage. Des simulations bien conçues permettent d’atténuer l’impact des attaques par hameçonnage de deux manières importantes. Les simulations fournissent des informations dont les équipes de sécurité ont besoin pour former les employés à mieux reconnaître et éviter les attaques par hameçonnage réelles. Elles aident également les équipes de sécurité à identifier les vulnérabilités, à améliorer la réponse globale aux incidents et à réduire le risque de violations de données et de pertes financières en cas de tentative d’hameçonnage réussie.
Les tests de phishing font généralement partie d’une formation plus large de sensibilisation à la sécurité menée par les services informatiques ou les équipes de sécurité.
Ce processus implique généralement cinq étapes :
Une fois ces étapes franchies, de nombreuses organisations rédigent un rapport complet résumant les résultats de la simulation de phishing, qu’elles partagent avec les parties prenantes concernées. Certaines utilisent également ces informations pour améliorer leur formation de sensibilisation à la sécurité avant de répéter le processus régulièrement. Il s’agit de mieux sensibiliser leurs employés à la cybersécurité et de garder une longueur d’avance sur l’évolution des cybermenaces.
Lorsqu’elles mènent une campagne de simulation d’hameçonnage, les organisations doivent tenir compte des points suivants.
Les simulations de phishing et les formations de sensibilisation à la sécurité sont des mesures préventives importantes, mais les équipes de sécurité ont également besoin de capacités de détection des menaces et de réponse de pointe pour atténuer l’impact des campagnes de phishing réussies.