Sensibilisation au Phishing 3.0

Clairement, nos campagnes de sensibilisation au phishing ne ressemblent à aucune autre !

Franchement, à quoi vous sert d’obtenir comme livrable un beau rapport indiquant que 17% ont ouvert le mail, 12% l’ont signalé et 71% n’ont rien fait, et que les stats du service RH (3 personnes, non sensibilisées) sont moins bonnes que celles de la DSI (8 personnes, sensibilisées) ? La belle affaire…

Nos campagnes de phishing sont personnalisées, puissantes, et mettent en œuvre des technologies qui font passer le mail unique envoyé à toute la société pour un moyen antédiluvien.

Alors, pourquoi des campagnes de sensibilisation sont elles “3.0” ? Elles sont interactives, s’étalent sur le temps nécessaire et sont alignées sur les réalités professionnelles. La personnalisation poussée permet d’augmenter l’engagement, tandis que l’évaluation régulière garantit des progrès mesurables dans la vigilance des employés, dès les premières salves.

L’organisation générale de nos campagnes de phishing

L’organisation repose sur une planification structurée, un suivi rigoureux, et une amélioration continue.

Si une étude de la surface d’attaque a déjà été menée, alors la campagne s’inscrit dans sa continuité. Dans tous les cas, une campagne discrète mais engageante repose sur des scénarios crédibles, une communication transparente après-coup, et un équilibre entre vigilance et pédagogie.

En impliquant les collaborateurs de manière respectueuse et proactive, nous renforçons leur vigilance tout en préservant leur confiance.

Qu’est-ce qu’il ne faut pas faire (et qu’hélas font bien souvent nos compétiteurs)

Voici le modèle de la campagne classique :

  • Un faux e-mail de mise à jour de compte interne est envoyé à tous les salariés, avec un lien malveillant. Si l’utilisateur clique, il est redirigé vers une page expliquant pourquoi c’était risqué. Un tutoriel rapide s’affiche alors pour expliquer les indices (faux domaine, langage pressant, etc.) ;
  • Les employés ayant détecté et signalé l’e-mail reçoivent un feedback positif ;
  • Enfin, une réunion ou un rapport global est présenté anonymement pour discuter des résultats et des leçons à tirer.

C’est exactement le modèle à oublier :

  • Dès le faux e-mail envoyé, les premiers salariés s’étant fait piéger préviennent les autres ; finalement, ceux qui cliquent sont soit les premiers arrivés, soit les plus isolés…
  • Les indices sont souvent généreux, pour laisser une chance aux salariés…
  • Le feed-back positif n’a aucune valeur pédagogique…
  • Les résultats anonymisés ne servent qu’à ne pas stigmatiser ceux qui doivent être formés…
Les objectifs d’une campagne de sensibilisation des salariés au phishing

Une campagne de sensibilisation au phishing transforme les employés en première ligne de défense contre les cybermenaces, réduit les vulnérabilités humaines et renforce la résilience globale de l’entreprise.

Cette démarche est absolument nécessaire, quand on sait que plus de 90% des attaques passent par de l’humain. Ses objectifs sont :

  • Renforcer la vigilance ;
  • Réduire les risques de cyberattaques ;
  • Créer une culture de cybersécurité ;
  • Encourager le signalement.

Ces campagnes de sensibilisation permettent aussi de répondre aux exigences de sécurité imposées par des normes comme le RGPD, la directive NIS2 ou DORA.

Éléments techniques

La mise en œuvre d’une campagne efficace repose sur une infrastructure technique adaptée, comprenant entre autres :

  • Une plateforme de simulation de phishing ;
  • Des outils de communication ;
  • Des contenus pédagogiques ;
  • Des tableaux de bord pour mesurer les performances ;
  • Et quelques autres choses encore, que nous vous présenterons volontiers.

Tous ces éléments garantissent une campagne structurée, discrète et orientée vers la sensibilisation proactive des employés, et leur formation à la détection des menaces.


Pour en savoir plus ? Contactez-nous !



.