Summary
Vous avez déjà effectué un exercice de phishing et vous voulez former vos collaborateurs aux enjeux de la cybersécurité ? Regardez notre formation de sensibilisation à la sécurité de l’information:
Qu’est-ce que c’est ?
Un exercice de phishing au sein d’une entreprise a pour but de sensibiliser les employés aux risques liés aux attaques de phishing et de mesurer la capacité de l’organisation à détecter et à contrer de telles tentatives d’ingénierie sociale. Le phishing est une technique d’attaque où des individus malveillants tentent de tromper les utilisateurs en se faisant passer pour des entités légitimes afin d’obtenir des informations sensibles, telles que des identifiants de connexion, des informations financières ou d’autres données confidentielles.
Selon le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques), en 2022, ce sont les PME/TPE et ETI qui sont les plus touchés par les attaques via rançongiciel (principalement envoyés via email) par rapport à la répartition globale avec un score de 40%
Cette statistique se base uniquement sur les attaques par rançongiciel qui ont été remontées à l’ANSSI, sans compter les autres types de compromission, de vol de données et celles qui n’ont pas été identifiées.
Pourquoi effectuer un exercice de phishing ?
Un exercice de phishing vérifie que vos collaborateurs sont conscients et sensibilisés aux enjeux de la sécurité de l’information en entreprise.
Il permet également d’évaluer les protections en place en cas de compromission initiale via une pièce jointe par exemple.
En fonction des résultats liés à un exercice de phishing, il est possible de programmer une intervention de notre part sous forme de formation afin de sensibiliser les collaborateurs.
En résumé, un exercice de phishing au sein d’une entreprise est une pratique proactive visant à renforcer la résilience de l’organisation face aux attaques de phishing en sensibilisant les employés, en évaluant les protocoles de sécurité, et en identifiant les domaines nécessitant des améliorations.
Nous avons la possibilité d’effectuer plusieurs formes de phishing :
• Générique : Un mail aléatoire peut être envoyé à tous les collaborateurs de l’entreprise pour ensuite faire des statistiques et avoir une tendance quant à la sensibilisation présente dans l’entreprise aux enjeux des menaces extérieures.
• Spear phishing : Une autre possibilité est de convenir et définir un scénario précis qui cible certains collaborateurs clés de l’organisation (PDG, managers, responsables) afin de correspondre au mieux à une attaque ciblée (aussi appelé spear phishing). Dans ce cas, l’attaquant va récupérer toutes les informations possibles concernant les cibles pour établir le scénario le plus plausible et convaincant afin d’arriver à ses fins et obtenir soit des informations confidentielles, soit un accès au réseau de l’entreprise.
Le phishing est un exercice complexe qui nécessite du temps afin de mettre en place un scénario cohérent adapté aux besoins du client.
Vous souhaitez en savoir plus ou demander un devis gratuit ?