Aujourd’hui plus de 90% des cyberattaques abouties ont commencé par une attaque de phishing (hameçonnage). C’est la plus grosse part des attaques sur les entreprises.
En moyenne on constate que près de 54% des utilisateurs cliquent sur le lien dans un message frauduleux bien réalisé. Aujourd’hui l’IA permet de construire des attaques ciblées de manière extrêmement réaliste.
La grande majorité des cyberattaques réussies ne passent pas par des failles techniques — elles exploitent des comportements humains. Les pirates modernes ciblent vos employés avant vos systèmes : ils manipulent, trompent et contournent les défenses en jouant sur la psychologie plutôt que sur la technologie.
Les responsables d’entreprises sont trop souvent persuadés que leurs employés ne sont pas aussi crédules et que cela ne les concerne pas vraiment.
Mais les chiffres sont alarmants et la plateforme antiphishing.ch de la confédération (OFCS) a reçu rien qu’en 2024 plus de 900’000 messages de signalement.
Pourquoi vous ?
Tout le monde et toutes les entreprises sont concernées, même celles spécialisées dans l’IT. Même dans les entreprises dont l’activité première est la sécurité informatique, il y a des personnes administratives ou logistiques qui ne sont pas forcement formées ou attentives à repérer des attaques ciblées. Vous pouvez former votre personnel à ces problématiques, mais rien ne remplace un test en situation réelle pour vérifier que ces concepts sont compris et appliqués.
Qui est ciblé dans l’entreprise ?
Les personnes les plus vulnérables sont souvent les managers, mais personne n’est à l’abri. Les pirates ratissent large pour espérer toucher quelques personnes. Une fois un pied dans la place il est beaucoup plus facile d’élargir l’attaque. Par exemple une fois le compte email piraté d’un manager, il est très simple de demander des informations plus confidentielles a d’autres employés en utilisant ce compte.
Pourquoi un audit de phishing ?
L’audit a 3 rôles majeurs. Le premier est de vérifier concrètement qui sont les personnes les plus vulnérables par une simulation d’attaque. Le deuxième d’apporter une formation pour les personnes atteintes. Le troisième est de maintenir une veille régulière pour s’assurer que les consignes sont bien respectées. La formation des nouveaux employés est aussi a garder en mémoire.
Notre proposition
Nous proposons de couvrir l’ensemble des points précités. Un audit de phishing efficace reproduit fidèlement les tactiques réelles des attaquants, dans un cadre contrôlé et éthique. Nous construisons des scénarios sur mesure adaptés à votre secteur, votre organisation et vos risques spécifiques. Un rapport d’audit de ces attaques avec les résultats du ciblages, anonymes ou pas selon votre souhait est établi. Nous proposons ensuite une formation sur site ou en remote, principalement des personnes ayant été touchées. Plusieurs ciblages par an sont ensuite proposés afin de vérifier que les concepts appris sont bien intégrés.
Ce que vos équipes apprendront à faire
L’objectif de l’audit n’est pas de piéger vos collaborateurs, mais de leur donner les bons réflexes :
- Questionner systématiquement toute demande d’argent ou d’informations confidentielles, même provenant d’un expéditeur connu.
- Détecter les signaux d’alarme : ton menaçant, urgence artificielle, promesses irréalistes, lien ou pièce jointe non sollicités.
- Limiter l’exposition publique sur les réseaux sociaux pour réduire la surface d’attaque disponible pour les attaquants.
- Signaler immédiatement toute tentative suspecte au bon interlocuteur interne.
- Ne jamais présumer qu’un interlocuteur est bien celui qu’il prétend être, y compris au téléphone ou en vidéo.
Pourquoi nous ?
Il existe des plateformes en ligne pour effectuer vous même des attaques et du suivit. Ces plateformes offrent de beaux rapports mais ne connaissent pas votre entreprise pour la cibler au mieux le risque. Elles n’offrent pas de formation adaptée et sur site après l’attaque pour un debriefing efficace.
Nous avons plus de 20 ans d’expérience dans la lutte antispam, la cybercriminalité et connaissons parfaitement les entreprises Romandes pour leur proposer une solution parfaitement ciblée.
Il existe de nombreuses autres variantes de phishing, comme le spear phishing, phishing HTTPS, Whaling, Clone phishing, Usurpation de domaine, deepfakes…
D’autres arnaques sont aussi de plus en plus fréquentes, comme l’usurpation d’identité. Il est très simple aujourd’hui grâce à l’intelligence artificielle de falsifier une vidéo ou même la voix lors d’un appel. Un téléphone pressant avec la voix de votre patron vous demandant d’effectuer un virement important ! Voix falsifiée, numéro d’appel usurpé, toutes les ruses sont possibles.
Nous proposons des séances de sensibilisation sur ces thématiques directement en entreprise. demandez nous un conseil sans engagement.
Faîtes le test !
Combien de personnes dans votre entreprise se laisseraient piéger par un email comme celui ci ?
