Sensibilisation au phishing : exercice pratique

Séraphine Clairlune

Le phishing reste l’une des causes majeures d’incident de sécurité. Un exercice pratique, proche du réel, est souvent le moyen le plus efficace de sensibiliser les collaborateurs. Voici un exercice structuré, ses objectifs, son déroulé et comment en mesurer l’impact.

Objectifs de l’exercice

  • Permettre aux collaborateurs de reconnaître les signes d’un e-mail frauduleux
  • Valider la chaîne de signalement interne
  • Réduire le taux de clics sur des liens malveillants

Déroulé de l’exercice (étapes)

  1. Préparation : sélectionnez des exemples réalistes et anonymisez les contenus. Informez la direction et les équipes RH.
  2. Phase d’envoi : lancez des emails simulés sur un échantillon représentatif.
  3. Phase de débriefing immédiat : envoyez une notification aux personnes ayant cliqué et proposez une mini-formation.
  4. Rapport : mesurez le taux de clics, la vitesse de signalement et les raisons invoquées.

Mesure et amélioration

Mesurez le taux de clics avant/après formation, le temps de signalement et le pourcentage d’utilisateurs ayant suivi le module de remédiation. Répétez l’exercice et variez les scénarios.

Aspects légaux et éthiques

Obtenez l’accord formel de la direction, protégez les données et évitez tout stigmate public. Traitez les résultats de manière pédagogique.

Conclusion

Un exercice de phishing bien conduit améliore la vigilance à court terme et crée des habitudes de signalement. Pour une action durable, combinez exercices, micro-formations et mesures organisationnelles.