Comment mener un programme de simulation de phishing efficace
Un programme de simulation de phishing n'est pas un exercice de piège : c'est un système de mesure et de formation. Mal mené, il érode la confiance et n'apprend rien ; bien mené, il fournit une métrique défendable et qui s'améliore sur l'une de vos plus grandes surfaces d'attaque.
Définir l'objectif avant le premier envoi
Décidez ce que vous mesurez réellement. Objectifs courants :
- Résilience comportementale — taux de clic, taux de saisie d'identifiants et surtout taux de signalement.
- Délai de signalement — à quelle vitesse vos 10 % les plus rapides remontent une campagne active.
- Couverture — quels services, rôles ou régions sont en retard.
La métrique la plus utile n'est souvent pas le taux de clic mais le taux de signalement : une population qui signale vite donne à votre SOC le signal nécessaire pour contenir une vraie attaque en quelques minutes.
Bien concevoir le programme
D'abord une base, ensuite l'amélioration
Lancez une campagne de référence initiale, peu difficile, pour situer votre point de départ. Ne publiez jamais de noms sur cette base : son rôle est de fournir un chiffre initial, pas de désigner des responsables.
Segmenter et randomiser
Envoyez à des segments représentatifs sur une fenêtre de temps plutôt qu'à tout le monde à 9h le lundi. Les envois simultanés déclenchent des avertissements de couloir (« attention au faux email ») qui corrompent vos données.
Augmenter la difficulté au fil du temps
Associez les campagnes à une échelle de difficulté :
- Facile : « échec de livraison de colis » générique, expéditeur externe évident.
- Moyen : outil interne usurpé (portail RH, inscription aux avantages), prétexte plausible.
- Difficile : leurres ciblés et contextuels évoquant de vrais projets, calés sur des événements réels (période d'inscription, campagne fiscale, réorganisation).
Adaptez la difficulté à la maturité. Des leurres difficiles contre une population non formée ne produisent qu'un taux de clic démoralisant.
Des règles de fonctionnement qui préservent la confiance
- Ne jamais punir un clic. Les programmes punitifs apprennent aux gens à cacher leurs erreurs et à ne pas signaler. Récompensez plutôt le signalement.
- Former à l'instant propice. La page d'atterrissage après un clic doit être brève, sans culpabilisation, et expliquer les indices précis.
- Coordonner avec les parties prenantes. Prévenez votre SOC/support pour qu'un pic de signalements ne soit pas pris pour un vrai incident, et informez RH/juridique sur le traitement des données.
- Respecter les contextes sensibles. Évitez les leurres imitant de vraies baisses de salaire, primes ou deuils : ils causent un tort réel et un rejet.
Mesurer ce qui compte
Suivez des tendances, pas des chiffres isolés :
Taux de signalement = signalés / délivrés
Taux de clic = cliqués / délivrés
Taux de compromission= identifiants saisis / délivrés
Ratio de résilience = signaleurs / cliqueurs (cible : > 1, en hausse)
Délai médian de signalement
% de cliqueurs récidivistes (mêmes utilisateurs sur plusieurs campagnes)
Un programme sain montre un taux de signalement qui grimpe et un délai de signalement qui baisse trimestre après trimestre, les récidivistes recevant un suivi ciblé plutôt qu'une reformation générale.
Une note sur la mesure technique
Méfiez-vous des chiffres gonflés par des outils de sécurité qui pré-cliquent les liens (bacs à sable d'URL, réécriture de liens, scanners de messagerie). Mettez votre expéditeur et votre infrastructure de simulation en liste d'autorisation dans ces systèmes, ou filtrez leurs user-agents et IP sources, pour qu'un scanner ne soit pas comptabilisé comme un « clic ».
Une cadence trimestrielle simple
- Planifier — choisir le thème, le niveau de difficulté et les segments cibles.
- Envoyer — de manière étalée sur plusieurs jours.
- Former — contenu au bon moment pour ceux qui cliquent ; reconnaissance pour ceux qui signalent.
- Rendre compte — tendances à la direction, actions ciblées sur les segments en retard.
- Itérer — augmenter la difficulté à mesure que la résilience progresse.
Traitez les simulations comme des exercices d'évacuation, pas comme des examens. Le but est une réponse plus rapide, plus calme et mieux préparée — pas une liste de coupables.
Comment GottaPhish aide
Un programme de simulation mal mené — scénarios incohérents, aucune mesure, aucun suivi — érode la confiance sans rien apprendre. GottaPhish et son équipe d'experts gèrent tout le cycle pour vous : des simulations personnalisées par IA qui vont d'une base facile à des leurres ciblés et contextuels, des envois étalés, une formation délivrée à l'instant du clic, et des tableaux de bord qui suivent le taux de signalement, le délai de signalement, le ratio de résilience et les récidivistes par segment. Nos experts vous accompagnent concrètement pour concevoir les scénarios, configurer et déployer les campagnes (y compris une MFA résistante au phishing lorsque l'exposition des identifiants est le vrai risque) et interpréter les résultats, afin que chaque tour améliore réellement les comportements au lieu de se limiter à des chiffres.
