🚨 La directive NIS2 est désormais en vigueur. La sensibilisation à la sécurité est désormais une obligation légale dans l'UE.

Vérifier la conformité
Démarrez votre essai gratuit
Retour au Centre de ressources

Simulations d'hameçonnage pour les entreprises : les organiser soi-même ou faire appel à un partenaire ?

Qu'est-ce que le phishing

Pour la plupart des entreprises, le phishing est l'un des moyens les plus courants utilisés par les pirates pour s'introduire dans leurs systèmes, et depuis l'entrée en vigueur de la directive NIS2, de nombreuses organisations sont tenues de former leurs collaborateurs de manière vérifiable. Une simulation de phishingest le moyen le plus concret d'y parvenir : vous utilisez des e-mails de phishing réalistes mais inoffensifs pour tester la réaction de vos collaborateurs, avant qu'un véritable pirate ne passe à l'action.

La vraie question est de savoir comment vous vous y prenez. Vous pouvez faire appel à un partenaire qui se chargera entièrement des tests de phishing à votre place, ou opter pour une solution gérée par votre propre entreprise. Dans cet article, nous abordons ces deux options, en présentant notamment les trois types d'entreprises susceptibles de vous aider ainsi que les critères permettant de faire votre choix entre elles.

En quoi consiste l'activité d'une entreprise spécialisée dans les simulations de hameçonnage ?

Une entreprise spécialisée dans les simulations d'hameçonnage envoie à vos collaborateurs de faux e-mails d'hameçonnage contrôlés. Ces messages ont l'air authentiques, avec des objets urgents, des expéditeurs usurpés et des liens vers de fausses pages de connexion, mais rien ne se passe si quelqu'un se laisse piéger. Au contraire, les résultats sont mesurés : qui a ouvert l'e-mail, qui a cliqué, qui a saisi ses identifiants.

Ces résultats mettent en évidence les points faibles de votre organisation et, surtout, constituent le point de départ de la formation. Une simulation sans suivi n’est qu’un instantané. La véritable valeur ajoutée réside dans le fait que les collaborateurs ayant cliqué bénéficient d’une formation de sensibilisation ciblée, et que le test soit répété régulièrement afin de pouvoir constater si les comportements s’améliorent réellement.

Il y a également un aspect formel. Si votre organisation relève du champ d'application de la directive NIS2, la mise en place de simulations régulières, associées à des formations, constitue l'un des moyens les plus concrets de démontrer que votre programme de sensibilisation existe bel et bien, et ne reste pas seulement théorique.

Trois types d'entreprises proposant des simulations d'hameçonnage

Le marché se divise globalement en trois types de prestataires. Leurs offres se recoupent, mais ils se distinguent par le degré d'implication qu'ils vous épargnent et par le niveau de contrôle que vous conservez.

1. Consultants en sécurité

Les consultants aident les organisations à améliorer leur sécurité de l'information dans son ensemble. Une simulation de hameçonnage s'inscrit alors dans le cadre d'un programme plus large comprenant une évaluation initiale, des campagnes de sensibilisation, la mise en place de politiques et, souvent, la préparation à des certifications telles que la norme ISO 27001 ou la conformité à la directive NIS2. Une entreprise comme Fendix fonctionne de cette manière, en accompagnant les organisations sur l'ensemble des aspects liés à la sécurité de l'information et à la protection contre le hameçonnage.

Cette solution convient aux organisations qui disposent de peu d'expertise en matière de sécurité en interne, ou qui sont engagées dans un processus de mise en conformité ou de certification et souhaitent bénéficier de l'accompagnement d'experts du début à la fin.

2. Partenaires informatiques et prestataires de services gérés

De nombreuses entreprises font déjà appel à un partenaire informatique de confiance qui gère leurs postes de travail, leur réseau et leur environnement Microsoft 365. Un nombre croissant de ces partenaires proposent des simulations d'hameçonnage dans le cadre de leurs services, généralement en complément d'une plateforme de sensibilisation à la sécurité. Promo Systems est un exemple de partenaire informatique qui associe la gestion informatique quotidienne à des services de sécurité.

L'avantage réside dans le fait de disposer d'un interlocuteur unique qui connaît déjà votre environnement informatique. La simulation, le suivi et les mesures techniques associées, telles que le filtrage des e-mails et l'authentification multifactorielle, sont ainsi gérés par un seul et même prestataire.

3. Plateformes de sensibilisation à la sécurité

La troisième solution consiste à utiliser une plateforme, soit de manière autonome, soit en collaboration avec votre partenaire informatique. Avec Guardey, vous mettez en place une simulation réaliste d'hameçonnage en quelques minutes, vous identifiez précisément les personnes qui cliquent et vous associez ce test à une formation ludique de sensibilisation à la sécurité qui maintient l'engagement des employés semaine après semaine.

Cette solution convient aux organisations qui souhaitent effectuer des tests en continu plutôt qu'une fois par an, et qui veulent garder le contrôle sur le calendrier, les modèles et le suivi. C'est également la solution qui présente le moins d'obstacles à la mise en place : pas de projet, pas de délai de préparation, il suffit de se lancer.

Vous vous demandez qui cliquerait dans votre entreprise ?

Mettez en place une simulation réaliste d'hameçonnage en quelques minutes et observez les résultats en temps réel. Aucune information de paiement n'est requise.

Essayez Guardey gratuitement pendant 14 jours

Confier la simulation de phishing à un prestataire externe ou la réaliser soi-même ?

L'externalisation complète de votre simulation de hameçonnage, avec un test ponctuel réalisé par un prestataire externe, vous fournit une base de référence. Mais la résilience face au hameçonnage est une question de comportement, et ce dernier ne change que par la répétition. C'est pourquoi la question de la fréquence est plus importante que celle du prestataire. Quelle que soit la solution que vous choisissiez, veillez à ce que les simulations aient lieu régulièrement tout au long de l'année et soient associées à des formations.

Dans la pratique, de nombreuses organisations finissent par adopter un modèle hybride : une plateforme dédiée aux simulations et à la formation en continu, accompagnée d’un consultant ou d’un partenaire informatique chargé des stratégies, des aspects techniques et de la vision globale de la sécurité. Les trois types d’entreprises mentionnés ci-dessus ne sont pas tant des concurrents les uns des autres que des acteurs complémentaires.

Comment choisir une entreprise spécialisée dans la simulation d'hameçonnage

Quel que soit le type de prestataire auquel vous vous adressez, voici les critères qui permettent de distinguer une bonne simulation de phishing d'un simple exercice consistant à cocher des cases :

  • Des modèles réalistes dans votre langue. Un modèle américain traduit se remarque immédiatement. Les simulations doivent refléter les e-mails que vos collaborateurs reçoivent réellement, en néerlandais, de la part d'expéditeurs qu'ils reconnaissent.
  • Rendre compte au niveau de l'équipe, sans pointer du doigt ni critiquer. L'objectif est d'apprendre, pas de punir. Les bons prestataires rendent compte au niveau de l'organisation et du service, et traitent les résultats individuels avec délicatesse.
  • Une formation liée au test. Un collaborateur qui clique doit bénéficier immédiatement d'un bref moment de formation. Sans ce lien, une simulation permet d'évaluer, mais n'apporte aucune amélioration.
  • Fréquence. Pouvez-vous facilement réaliser des simulations plusieurs fois par an, en variant les paramètres, ou chaque test constitue-t-il un nouveau projet ?
  • Confidentialité et comité d'entreprise. Les simulations font appel à des données relatives aux salariés. Vérifiez comment le prestataire gère le RGPD et consultez votre comité d'entreprise avant de commencer.
  • Rapports de conformité. Si vous êtes soumis à la norme NIS2 ou à la norme ISO 27001, vous devez être en mesure de prouver que des formations de sensibilisation sont bien dispensées. Demandez au prestataire comment il vous aide à fournir ces preuves.

La simulation d'hameçonnage fait partie des services proposés par les entreprises de cybersécurité

Les simulations d'hameçonnage sont rarement proposées isolément. Les entreprises spécialisées dans la cybersécurité les proposent généralement dans le cadre d'une offre plus large qui comprend également des tests d'intrusion, la surveillance de la sécurité et la gestion des incidents. Si votre organisation a besoin de plus qu'une simple campagne de sensibilisation, par exemple parce qu'elle traite des données sensibles ou qu'elle relève de la directive NIS2 en tant qu'entité essentielle, il est judicieux d'envisager cette approche globale.

L'inverse est également vrai : si le facteur humain constitue votre maillon faible, vous n'avez pas besoin d'acheter l'offre complète d'une entreprise spécialisée dans la cybersécurité pour vous lancer. Une simulation ciblée de hameçonnage, associée à une formation adaptée, permet de s'attaquer à la voie d'attaque la plus couramment utilisée par les cybercriminels, et ce avec un minimum d'efforts.

Questions fréquentes

À quelle fréquence faut-il organiser une simulation d'hameçonnage ?

Plus d'une fois par an. Un test ponctuel ne rend compte que d'un instant donné ; en revanche, des simulations régulières, réparties tout au long de l'année et portant sur différents scénarios, modifient réellement les comportements et vous permettent de constater si les taux de clics diminuent.

Une simulation d'hameçonnage est-elle autorisée en vertu du RGPD ?

Oui, à condition de procéder avec prudence. Informez les salariés de manière générale que ces simulations s'inscrivent dans le cadre de votre politique de sécurité, associez le comité d'entreprise à cette démarche et présentez les résultats à l'échelle du groupe plutôt que de mettre en cause des personnes en particulier.

Que se passe-t-il après qu'un internaute a cliqué ?

Rien de grave. Dans un contexte favorable, l'employé bénéficie immédiatement d'une brève explication ou d'un moment de formation. Ce clic devient alors une occasion d'apprendre plutôt qu'un incident.

Que vous choisissiez de faire appel à un consultant, à votre partenaire informatique ou à une plateforme, la première étape est la même : faire le point sur votre situation actuelle. Vous souhaitez d'abord comparer les différents prestataires ? Consultez notre tour d'horizon des meilleurs logiciels de simulation de phishing.

Vous ne savez pas quelle approche convient le mieux à votre organisation ?

Au cours d'une démonstration de 45 minutes, nous vous montrerons comment Guardey associe simulations de hameçonnage et formation, et nous vous donnerons des conseils avisés sur l'approche la mieux adaptée à votre organisation.

Prenez rendez-vous pour une démonstration personnalisée
Dinela Lokvancic
Dinela Lokvancic Spécialiste en marketing Dinela veille à ce que la présence en ligne de Guardey soit toujours à jour. Elle crée du contenu qui rend accessibles des sujets complexes liés à la cybersécurité et aide les organisations à comprendre pourquoi la formation à la sensibilisation à la sécurité est importante pour leurs équipes.
PRÊT À VOUS LANCER ?

Rejoignez plus de 500 entreprises qui protègent déjà leurs équipes grâce à Guardey

Commencez votre essai gratuit de 14 jours
14 jours gratuits · Pas de carte de crédit · Accès complet · Configuration en 5 minutes
Ou planifiez une démonstration personnalisée