Sensibilisation et simulation phishing : ces erreurs courantes dans les entreprises

Un message anodin demandant à vos collaborateurs de mettre à jour leur mot de passe sur l’outil de gestion des congés… et en un clic, tout peut basculer !

Car si ce message est en réalité une tentative de phishing (hameçonnage), il suffit qu’une seule personne se fasse piéger pour que des données sensibles (mot de passe, informations RH, voire accès à des systèmes internes) soient compromises.

Dans la mesure où le phishing n’épargne personne, les entreprises ont tout intérêt à lancer des campagnes de sensibilisations aux bonnes pratiques. Pour que cette campagne soit aussi efficace et impactante que possible, découvrez les erreurs à éviter absolument !

1. Adopter une approche passive

Bien qu’ils puissent être intéressants, les contenus comme les affiches et autres vidéos généralistes n’impactent pas toujours les collaborateurs de manière assez significative.

Même si ces supports contiennent des informations utiles et pertinentes, le discours n’est pas forcément adapté aux pratiques de chacun. Face à un manque de concret, il devient plus difficile de mémoriser le message, et donc de l’appliquer plus tard.

S’ils peuvent être efficaces comme piqûres de rappels, ces supports ne sont pas suffisants. Dans leur sensibilisation aux risques de cyberattaques, veillez à ce que vos collaborateurs puissent être actifs à certains moments.

Pour les rendre acteurs de ce changement de perspective cyber, plusieurs solutions sont possibles et cumulables entre elles :

• Des exercices en conditions réelles ;
• Des échanges sous forme d’ateliers…
• … mais aussi des exercices de phishing aussi vrais que nature.

Je souhaite sensibiliser mes collaborateurs au phishing

2. Négliger l’approche métier

Vous envoyez un faux e-mail de phishing à un collaborateur, mais vous ne pensez pas à ses habitudes… Le risque ? Que le message apparaisse plus facilement comme un contenu suspect, et que votre collaborateur le détecte rapidement… Pour qu’au final, vous pensiez – à tort – que vous avez bien sensibilisé vos équipes et que votre entreprise est protégée.

Afin d’améliorer l’impact de vos campagnes, créez des e-mails aussi proches que possible des pratiques de chacun. Par exemple, des relances d’impayés pour les départements finance ou des messages de livraison pour les équipes logistiques. De cette manière, vous vous rapprochez significativement du quotidien de chaque collaborateur et vous obtenez des informations plus fiables au terme de votre campagne.

Dans chaque campagne de sensibilisation à la cybersécurité et au phishing, nous déployons pour nos clients des scénarii métiers spécifiquement conçus pour s’adapter aux pratiques de leurs différents collaborateurs.

Je souhaite sensibiliser mes équipes

3. Omettre la restitution et le retour sur expérience

Dès lors que vous envoyez des faux e-mails de hameçonnage et que vous faites comprendre à vos équipes qu’elles n’auraient pas dû cliquer, vous enclenchez une dynamique positive. Les collaborateurs vont comprendre qu’ils ont commis une erreur, ils s’en souviendront, et les risques qu’ils se laissent convaincre par un prochain e-mail de phishing simulé ou réel vont diminuer.

Mais cela ne suffit pas. Pour aller encore plus loin, la phase de retour aux équipes et aux décideurs reste essentielle. Vis-à-vis des décideurs, il ne faut pas hésiter à présenter les statistiques de chaque action pour comprendre la situation, et mettre en place un plan d’action si nécessaire. Ensuite, avec les équipes, il s’agira de combler les lacunes, et d’engager le dialogue autour des enjeux de cybersécurité.

Sigma inclut dans ses offres de sensibilisation à la cybersécurité des restitutions complètes auprès des équipes, comités de cybersécurité ou encore CODIR. Sans oublier un accompagnement complet, ensuite, pour améliorer durablement les pratiques au sein de l’entreprise.

Demander un accompagnement cyber

4. Prévoir une campagne en one-shot

La sensibilisation à la cybersécurité dans votre entreprise ne peut pas être quelque chose de ponctuel. Au contraire, pour obtenir de vrais résultats, c’est une approche à envisager sur le long terme, de manière continue.

Il ne suffit pas d’envoyer un faux e-mail de phishing une fois par an pour ancrer de bons réflexes dans les habitudes de toutes les équipes. C’est aussi par la répétition que chacun apprend, et c’est la raison pour laquelle cette sensibilisation doit être étalée dans le temps.

5. Oublier les managers

La formation à la cybersécurité dans une entreprise d’une manière générale, mais aussi la sensibilisation au phishing en particulier, ne doivent pas être perçus comme de simples contraintes imposées par la RH et/ou l’IT. Ici, les managers endossent un rôle capital.

Ceux-ci vont pouvoir promouvoir le sujet comme un véritable enjeu dans leur équipe, afin que chacun se sente pleinement investi.

6. Déployer sans tester

Les outils de simulation de phishing permettent de créer des campagnes d’e-mails assez facilement, de manière globalement très intuitive. Malgré tout, la phase de test reste incontournable pour que tous les efforts portent leurs fruits.

Qu’il s’agisse de liens bloqués, de messages qui tombent automatiquement dans les spams ou encore de pages web qui ne s’affichent pas correctement, pensez à tout tester avant de vous lancer.

Appuyez-vous sur un accompagnement global et expert pour tirer pleinement profit de vos outils de simulation de phishing, faites appel à Sigma.

Je souhaite en savoir plus

7. Piéger sans expliquer

Si vous vous contentez de créer des campagnes de sensibilisation phishing sans émettre de retour aux collaborateurs, ceux-ci risquent de se sentir piégés et, surtout, de ne pas comprendre l’objet de votre démarche.

Afin d’éviter cela, associez toujours vos faux e-mails frauduleux à un retour complet par la suite, permettant à chacun de comprendre pourquoi il s’est trompé, et de tirer les enseignements qui s’imposent. Favorisez toujours une démarche bienveillante et pédagogique, car c’est aussi de cette manière qu’on obtient davantage d’adhésion.

Bien plus qu’un simple risque technique, le phishing reste un véritable enjeu humain au sein de l’entreprise. Non seulement il s’agit d’aider les collaborateurs à détecter l’anormal, mais il faut aussi leur apprendre à douter de ce qui semble évident, et surtout à signaler les tentatives de hameçonnage dans le respect des procédures en place.

Pour qu’elles soient en mesure de développer ces réflexes, vos équipes ont besoin d’une sensibilisation concrète, contextualisée et engageante. Choisissez pour cela le bon accompagnement, en vous assurant de travailler avec un partenaire qui connaît vos enjeux métiers pour s’y adapter, qui utilise les bons outils et qui peut aussi vous aiguiller sur toute la partie analytique et technique.

À la une

Parcourez tous nos articles et contenus sur la thématique de la cybersécurité.

Parcourir notre blog

Cybersécurité

Guide NIS2 : suis-je concerné ? Quelles obligations ?

Cybersécurité

Sécuriser votre infrastructure informatique : pourquoi opter pour un service managé ?

Cybersécurité

Bientôt la fin des mots de passe ? Nos conseils pour mieux protéger vos données