Skip to content
Rechercher Select language
Français
Annuler

Test de sécurité relatif à l’hameçonnage

Découvrez le pourcentage de Phish-Prone de vos employés grâce à notre test gratuit de simulation d’hameçonnage.

Saviez-vous que 91 % des violations de données réussies ont pour origine une attaque par harponnage ?

Découvrez le pourcentage de Phish-Prone™ de vos employés grâce à notre test gratuit de simulation d’hameçonnage. Vous pouvez également comparer vos performances à celles des autres acteurs de votre domaine en consultant les nouvelles données de référence du secteur en matière d’hameçonnage.

Les professionnels de l’informatique ont compris qu’il était urgent de recourir à des simulations de tests d’hameçonnage pour créer une couche de sécurité supplémentaire. De nos jours, il est tout aussi vital de soumettre vos utilisateurs à un hameçonnage que de disposer d’un antivirus et d’un pare-feu. Il s’agit d’une pratique de cybersécurité ludique et efficace qui permet de renforcer votre dernière ligne de défense : LES UTILISATEURS.

Pourquoi ? Parce que si vous ne le faites pas vous-même, ce sont les acteurs malveillants qui le feront.

Fonctionnement :
  • Commencez immédiatement votre test sur 100 utilisateurs maximum, sans même devoir nous contacter.
  • Choisissez parmi plus de 20 langues et personnalisez votre modèle de test d’hameçonnage en fonction de votre environnement.
  • Choisissez la page de destination qui s’affiche après le clic malheureux de l’utilisateur.
  • Indiquez aux utilisateurs les signaux d’alerte qu’ils n’ont pas perçus, ou affichez une page 404. 
  • Recevez sous 24 heures par e-mail un PDF avec votre pourcentage de Phish-prone et des visuels à communiquer à vos dirigeants.
  • Comparez le niveau de votre organisation à celui d’autres acteurs de votre secteur d’activité.

Le pourcentage de Phish-prone est en général plus élevé que ce que vous imaginez et il constitue un excellent argument pour justifier l’obtention d’un budget.

Commencez à hameçonner vos utilisateurs sans attendre. Complétez le formulaire et commencez immédiatement !

Inscrivez-vous pour obtenir votre  test gratuit

Définition de l’hameçonnage

L’hameçonnage désigne les tentatives d’obtention d’informations sensibles telles que des noms d’utilisateur, les mots de passe et les données de carte de crédit, en se faisant passer pour une entité digne de confiance et en envoyant des e-mails en masse qui tentent d’échapper aux filtres antispam.

Les e-mails prétendant provenir de sites web de médias sociaux reconnus, de banques, de sites de vente aux enchères ou d’administrateurs informatiques sont fréquemment utilisés pour piéger des utilisateurs peu méfiants. Il s’agit d’une forme d’ingénierie sociale frauduleuse criminelle.

Foires aux questions sur l’hameçonnage

Que faire pour empêcher les attaques par hameçonnage ?
Cette liste n’est pas exhaustive et il n’existe pas de solution miracle pour mettre fin à l’hameçonnage. Nous avons néanmoins dressé une liste succincte de bonnes pratiques qui ont fait leurs preuves :
  1. Comprenez les risques auxquels vous êtes confrontés
  2. Élaborez des politiques adéquates
  3. Mettez régulièrement à jour les systèmes
  4. Veillez à disposer de sauvegardes récentes et de bonne qualité
  5. Déployez des solutions anti-hameçonnage
  6. Mettez en œuvre de bonnes pratiques en matière de comportements des utilisateurs
  7. Faites appel à une veille efficace des menaces

En outre, voici nos 10 meilleurs conseils de prévention à partager avec vos utilisateurs pour les aider où qu’ils se trouvent :

  1. Tenez-vous informé des dernières techniques d’hameçonnage
  2. Réfléchissez avant de cliquer !
  3. Installez une barre d’outils anti-hameçonnage
  4. Vérifiez la sécurité des sites
  5. Vérifiez régulièrement vos comptes en ligne
  6. Mettez à jour votre navigateur
  7. Utilisez des pare-feu
  8. Méfiez-vous des fenêtres contextuelles
  9. Ne communiquez jamais d’informations personnelles si vous avez des doutes
  10. Utilisez un logiciel antivirus 

Vos utilisateurs sont votre dernière ligne de défense contre les attaques par hameçonnage. Pour cette raison, la mesure de prévention la plus importante à envisager est de proposer un programme de formation sur la sensibilisation à la sécurité  de nouvelle génération, combiné avec des simulations d’hameçonnage régulières.

Comment hameçonner mes utilisateurs ?

Simuler des hameçonnages et former vos utilisateurs constituent votre dernière ligne de défense pour vous protéger contre ces attaques. Voici les 4 grandes étapes à suivre :

  1. Tests de référence visant à évaluer le pourcentage de Phish-prone de vos utilisateurs avant de les former. L’objectif est de déterminer le niveau d’attaque susceptible ou non de les piéger, et de disposer de données pour mesurer la réussite à venir.
  2. Formation de vos utilisateurs  à la demande, interactive et motivante, pour leur permettre de réellement comprendre les enjeux.
  3. Hameçonnage simulé de vos utilisateurs au moins une fois par mois pour enrichir leur formation et les aider à continuer à apprendre.
  4. Consultation des résultats de la formation et de simulations d’hameçonnage dans le but d’atteindre un pourcentage de Phish-prone aussi proche de 0 % que possible.

Cinq autres points à prendre en compte :

  1. La sensibilisation en soi-même n’est qu’un élément d’une défense approfondie, mais elle est fondamentale.
  2. Vous ne pouvez pas et ne devez pas  être seul à lutter.
  3. Vous ne pouvez pas et ne devez pas vous former à tout.
  4. Les utilisateurs s’intéressent uniquement aux enjeux qui selon eux, les concernent.
  5. Ce processus continu a pour but d’aider les employés à prendre des décisions plus intelligentes en matière de sécurité.

... et enfin, 5 autres bonnes pratiques qui, à notre avis, doivent absolument être adoptées :

  1. Fixez-vous des objectifs explicites  avant de commencer.
  2. Incitez l’équipe de direction à s’impliquer.
  3. Choisissez les comportements que vous souhaitez orienter, sélectionnez-en 2 ou 3 et cultivez-les pendant 12 à 18 mois.
  4. Considérez votre programme comme une initiative de marketing.
  5. Organisez fréquemment un hameçonnage, au minimum une fois par mois.

La réalité, c’est que l’hameçonnage de vos utilisateurs a un côté très LUDIQUE ! Vous pouvez atteindre tous ces objectifs grâce à notre programme de formation sur la sensibilisation à la sécurité. Si vous avez besoin d’aide pour démarrer, que vous soyez client ou non, vous pouvez créer votre programme personnalisé ASAP (Automated Security Awareness Program) en répondant à des questions (entre 15 et 25) sur votre organisation.

Quels sont les types d’e-mail d’hameçonnage les plus fréquents ?

Les cybercriminels renouvellent en permanence leurs techniques d’hameçonnage. Même si le contenu des e-mails d’hameçonnage a beaucoup changé et continue d’évoluer au fil des ans, voici quelques variantes de base parmi les plus fréquentes : 

  1. E-mail d’hameçonnage classique : au cours des dernières années, les fournisseurs de services en ligne ont pris l’habitude de prévenir leurs clients s’ils détectent une activité inhabituelle ou inquiétante sur leurs comptes de leurs utilisateurs. Évidemment, les acteurs malveillants ont détourné cette démarche à leur avantage. Un grand nombre de leurs messages sont médiocres et truffés de fautes de grammaire, mais certains ont un aspect suffisamment légitime pour inciter un utilisateur peu attentif à cliquer dessus.

  2. Exploitation des médias sociaux : les informations de nombreux utilisateurs sont accessibles au public sur des plateformes telles que Facebook, LinkedIn et Twitter. Les cybercriminels les récupèrent pour créer des e-mails de harponnage ciblés envoyés à vos utilisateurs et à votre organisation. Ces e-mails font partie de campagnes conçues pour pirater des comptes, nuire à la réputation de votre organisation ou s’infiltrer dans votre réseau. 
     
  3. Pièces jointes infectées : les pièces jointes malveillantes au format .HTML sont plus rares que celles au format .JS ou .DOC, mais les cybercriminels les affectionnent pour plusieurs raisons. Tout d’abord, elles ont peu de chances d’être détectées par un antivirus, car les fichiers .HTML ne sont en général pas associés à des attaques par e-mail. Ensuite, comme elles sont souvent utilisées par les banques et autres institutions financières, les utilisateurs sont habitués à les recevoir. 

    Les macros malveillantes dissimulées dans les e-mails d’hameçonnage sont également devenues un moyen de plus en plus répandu de diffuser des rançongiciels. Ces documents échappent trop souvent sans encombre aux antivirus. Les e-mails d’hameçonnage créent un sentiment d’urgence chez le destinataire. Mais si les utilisateurs n’activent pas les macros, l’attaque échoue.

  4. Fraudes au président : dans ce type d’escroquerie, les cybercriminels usurpent des comptes de messagerie d’entreprise et se font passer pour des cadres dans le but de conduire un employé de la comptabilité ou des ressources humaines à effectuer des virements électroniques non autorisés, ou à communiquer des informations fiscales confidentielles. En général, les cybercriminels ont recueilli suffisamment de données pour choisir les destinataires à cibler.
Comment fonctionne le test de sécurité relatif à l’hameçonnage ?

Le test de sécurité gratuit relatif à l’hameçonnage de KnowBe4 permet de déterminer le niveau de vulnérabilité de votre réseau. Il vous indique le nombre d’utilisateurs susceptibles de tomber dans le piège d’une attaque d’ingénierie sociale par e-mail.

Il peut également compléter et renforcer la formation dispensée par les modules de formation de KnowBe4 en permettant aux utilisateurs d’acquérir une pratique conforme aux conditions du monde réel afin de les aider à reconnaître les attaques d’ingénierie sociale et à y réagir correctement.

Fonctionnement : le test de sécurité relatif à l’hameçonnage envoie un e-mail à chaque utilisateur de votre organisation. Dans notre premier test de sécurité gratuit relatif à l’hameçonnage, l’e-mail envoyé contient un lien dont le texte vise à tromper l’utilisateur et à l’inciter à cliquer dessus. S’il clique sur le lien, l’utilisateur est dirigé vers une page de destination basique qui l’informe qu’il a participé à un test de simulation d’hameçonnage et lui présente les règles à respecter lorsqu’il consulte les e-mails de sa boîte de réception.

Les résultats du test précisent le nombre d’utilisateurs qui ont échoué au test, divisé par le nombre d’utilisateurs auxquels le test a été envoyé. Ce chiffre vous indique le pourcentage de Phish-Prone, c’est-à-dire le nombre d’utilisateurs ayant échoué au test de sécurité relatif à l’hameçonnage.

Je viens juste d’envoyer un test de sécurité relatif à l’hameçonnage. Que dois-je faire maintenant ?

Une fois le test effectué, vous pouvez revenir à votre compte à tout moment pour consulter les résultats sur la page Tableau de bord . Le Tableau de bord affiche votre pourcentage de Phish-Prone, c’est-à-dire votre niveau de vulnérabilité si une attaque similaire par hameçonnage se produisait dans votre organisation. Il est également indiqué comment votre pourcentage de Phish-Prone se situe par rapport à d’autres acteurs de votre secteur d’activité, au terme d’un an de formation combinant une sensibilisation en ligne sur la sécurité et une simulation d’hameçonnage.

Un rapport PDF vous est aussi envoyé automatiquement par e-mail sous 24 heures. Si vous souhaitez savoir lesquels de vos utilisateurs ont cliqué, votre représentant ou revendeur peut vous fournir cette information !

Fort de ces connaissances, vous pouvez contribuer à protéger votre organisation en formant vos utilisateurs aux dangers de ces types d’attaques. La formation sur la sensibilisation à la sécurité de nouvelle génération de KnowBe4 peut vous aider à atteindre cet objectif. Grâce à KnowBe4, vous pouvez apprendre à vos utilisateurs à repérer les signes avant-coureurs et actualiser régulièrement leurs compétences en envoyant des attaques d’hameçonnage factices semblables à celles de cet outil gratuit.

L’hameçonnage mobile est-il en train de s’aggraver ?

Au cours du premier trimestre 2020, les attaques par hameçonnage sur appareil mobile ont augmenté de 475 % par rapport à la même période en 2019, selon un récent rapport de Lookout. Les attaques sur les appareils mobiles ne sont pas nouvelles, mais elles connaissent un véritable essor en tant que vecteurs d’attaque contre les entreprises.

Les SMS, ainsi que certaines des applications de médias sociaux et plateformes de messagerie les plus populaires et les plus répandues, telles que WhatsApp, Facebook Messenger et Instagram, sont désormais des vecteurs prisés des pirates. Les professionnels de la sécurité qui omettent de prendre en compte ces nouveaux vecteurs d’attaque mettent leur organisation en danger.

Pour ne citer que quelques exemples, l’utilisation des appareils mobiles entraîne les risques d’hameçonnage suivants :

  • Applications : elles sont dépourvues d’une sécurité intégrée. Les applications gratuites demandent en général de nombreux droits d’accès dont elles n’ont pas besoin.
  • Wi-Fi : votre appareil capte en général le signal le plus puissant. Il peut s’agir d’un point d’accès Wi-Fi qui semble légitime, mais qui est en fait non autorisé et manipulé par un pirate qui n’attend que l’occasion de surveiller, d’intercepter, voire de modifier les communications de votre appareil.
  • Bluetooth : une connexion Bluetooth peut servir à propager des virus. Elle peut aussi être utilisée par des cybercriminels pour pirater des téléphones et ainsi accéder aux données de votre organisation et les exploiter.
  • Erreur humaine : des appareils perdus ou volés sont revendus à des acheteurs qui sont plus intéressés par les données que par les appareils eux-mêmes.
  • Hameçonnage par SMS : à l’instar des e-mails d’hameçonnage, un SMS d’hameçonnage va pousser une victime potentielle à révéler des informations personnelles en lui demandant d’effectuer un certain nombre d’activités en apparence banales, par exemple l’informer que sa banque a détecté une activité inhabituelle sur son compte ou le féliciter d’avoir gagné un prix dans son magasin préféré.
Découvrez d’autres exemples d’hameçonnage, l’hameçonnage mobile et les solutions permettant d’empêcher les attaques dans notre centre de ressources sur l’hameçonnage.