Depuis le premier confinement de mars 2020, les cyberattaques connaissent une hausse spectaculaire. Selon le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les incidents de cybersécurité ont augmenté de 400 % en 2021.
Et le phishing, ou hameçonnage, est la technique préférée des pirates : 9 attaques sur 10 utilisent l’email comme porte d’entrée. Comme le phishing repose sur la manipulation plus que sur des technologies complexes, la meilleure façon de limiter ses dégâts est de sensibiliser vos employés, en réalisant notamment des tests d’intrusion.
IPE, spécialiste de l’infogérance et de la cybersécurité pour les entreprises, possède l’expertise et les compétences nécessaires pour cerner vos vulnérabilités et aider les collaborateurs à adopter les bons réflexes lorsqu’ils sont confrontés à un email douteux.
1. Qu’est-ce que les fausses campagnes de phishing ?
Une fausse campagne de phishing est un type de test d’intrusion. Elle met en contexte les risques encourus par l’entreprise, en s’inspirant des techniques utilisées par les pirates pour voir comment les collaborateurs réagissent et les former aux bonnes pratiques.
Le phishing, rappelons-le, est l’envoi d’emails piégés qui ont pour objectif d’obtenir des informations confidentielles, comme un identifiant de connexion, un mot de passe ou un numéro de carte de crédit. Cette technique est tout aussi simple que redoutable, car les emails ont généralement l’air d’être tout à fait crédibles et d’émaner d’une banque, d’un collègue, ou d’une administration.
Pour vous aider à lutter contre ce genre de cyberattaque, l’équipe d’experts d’IPE se met dans la peau d’un hacker et simule une attaque réelle. Cette technique a fait ses preuves : à l’Université de Toulouse 1 Capitole, qui réalise de fausses campagnes de phishing depuis des années, un nouvel utilisateur sur deux se fait hameçonner, tandis qu’il y a seulement 3 % de piégés parmi les personnes qui ont été sensibilisées.
Les fausses campagnes de phishing ne sont pas la seule façon de tester les vulnérabilités de votre système informatique. Elles font partie de ce que l’on appelle les attaques en mode « grey box » : les hackers ont peu d’informations sur l’entreprise, mais ont réussi à recueillir les adresses email des collaborateurs. Nous pouvons également réaliser des attaques en mode « black box », en partant du principe que le hacker ne sait absolument rien de l’entreprise, ou opter pour le mode « white box », qui génère les attaques les plus dangereuses. Dans ce cas, le hacker possède déjà des informations sensibles sur l’organisation qu’il attaque, comme des mots de passe, transmises par un tiers ou obtenues via un logiciel d’espionnage.
Soulignons également qu’il faut respecter des standards de sécurité et d’éthique quand on réalise de fausses campagnes de phishing. Les solutions que nous utilisons respectent ainsi le RGPD (Règlement général sur la protection des données).
2. La méthode proposée par IPE
Chez IPE, nous utilisons une méthodologie stricte et éprouvée pour réaliser nos tests d’intrusion. Elle est composée de trois étapes : la préparation, la réalisation et la livraison. Dans un premier temps, nous préparons la campagne de phishing en effectuant un audit, en obtenant l’autorisation de votre hébergeur, et en sauvegardant les données de l’entreprise. Ensuite, nous lançons la campagne de phishing en utilisant une plateforme spécialisée qui respecte le RGPD, et recueillons des données sur les utilisateurs. Nous savons ainsi qui a ouvert l’email, qui a cliqué sur le lien compromis, et qui a fourni son mot de passe ou toute autre information sensible. Nos tests permettent également de connaître la durée écoulée entre la réception de l’email et la compromission du SI ;
Enfin, nous livrons notre rapport d’audit et présentons nos conclusions, avec des recommandations pour améliorer la cybersécurité de l’entreprise. Si vous voulez aller plus loin, nos experts peuvent rédiger une charte informatique que vos collaborateurs signeront, ou proposer des formations sur le phishing ou d’autres menaces et risques, comme par exemple l’utilisation de machines personnelles dans le cadre professionnel.
3. Quels sont les avantages des fausses campagnes de phishing pour votre entreprise ?
Réaliser un test d’intrusion vous permet d’identifier et de corriger vos vulnérabilités. Informée des risques, la direction de l’entreprise peut prioriser les correctifs de sécurité et prévoir des sessions de formation pour le personnel.
Les bénéfices sont nombreux. Tout d’abord, cette action de sensibilisation est efficace pour contrer plusieurs types de menaces. Un email de phishing n’est en effet que la première phase d’une attaque. Quand un hacker s’empare des identifiants et mots de passe Gmail ou Microsoft 365, il a accès aux fichiers de l’entreprise et peut se saisir d’informations confidentielles. Il peut également installer des logiciels malveillants sur le SI, mener une attaque par ransomware, ou espionner l’entreprise.
Miser sur la prévention vous permet de faire des économies sur le long terme : on estime que le coût moyen d’un cyber incident en France est de 35 000 euros. De plus, les pertes financières s’accompagnent généralement d’une perte de confiance des clients, ce qui peut avoir des conséquences graves sur le long terme.
Enfin, adopter une attitude proactive en matière de cybersécurité vous permet de vous conformer aux exigences règlementaires. Selon le RGPD, vous devez assurer la sécurité de toutes les données confidentielles, des collaborateurs, clients et partenaires, et vous disposez de 48 heures pour déclarer une fuite de données auprès des clients et entreprises concernés.
Le mot de la fin
Si vous recherchez une façon efficace d’augmenter la vigilance de vos collaborateurs, réaliser un test d’intrusion sous forme de fausse campagne de phishing est une excellente solution. IPE est le partenaire privilégié des entreprises qui souhaitent gérer les risques humains en matière de cybersécurité : nous adaptons nos campagnes de sensibilisation à vos besoins et aux spécificités de votre entreprise, pour vous faire gagner en sérénité.
