Campagne de Phishing : PME

PME, 50 collaborateurs

2 semaines

Microsoft 365

Campagne de Phishing

Contexte de la mission

Le défi

Contexte

Une PME souhaitait évaluer la vigilance de ses collaborateurs face aux emails frauduleux.

L'entreprise n'avait jamais réalisé de campagne de sensibilisation et la direction voulait des données concrètes avant de décider des actions à mettre en place.

Objectifs

Mesurer la vigilance des collaborateurs face aux emails frauduleux
Identifier les profils les plus exposés
Fournir des recommandations de sensibilisation ciblées

Déroulement

Découvertes clés

Périmètre testé

Ensemble des collaborateurs avec une adresse email professionnelle
3 scénarios personnalisés déployés sur 2 semaines
Mesure du taux d'ouverture, de clic et de saisie d'identifiants

Méthodologie

Trois scénarios adaptés au contexte de l'entreprise :

Réinitialisation de mot de passe par le service informatique
Mise à jour d'un document RH à signer
Facture d'un fournisseur habituel à valider

Critique

38% des collaborateurs ont cliqué sur au moins un lien frauduleux

Critique

15% des collaborateurs ont saisi leurs identifiants sur la fausse page de connexion

Élevé

Le scénario IT (réinitialisation mot de passe) a obtenu le taux de clic le plus élevé (45%)

Élevé

Aucun collaborateur n'a signalé les emails suspects à la direction ou au service informatique

Élevé

Pas d'authentification multifacteur activée sur les comptes email

Résultats

Bilan et recommandations

Bilan

5 constats : 2 critiques, 3 élevés

38% des collaborateurs ont cliqué sur au moins un lien frauduleux. 15% ont saisi leurs identifiants sur une fausse page de connexion.

Le résultat le plus marquant : aucun signalement des emails suspects, ni à la direction ni au service informatique.

La direction a décidé d'activer le MFA et de lancer un programme de sensibilisation régulier.

Recommandations

Activer l'authentification multifacteur (MFA) sur tous les comptes email
Mettre en place un réflexe de signalement des emails suspects
Sensibiliser les collaborateurs aux techniques de phishing les plus courantes
Programmer une campagne de suivi pour mesurer la progression

Enseignements

Leçons apprises

Le scénario le plus efficace était le plus simple : un email de réinitialisation de mot de passe
Aucun collaborateur n'a signalé les emails, signe d'un manque de culture sécurité
Les attaquants n'ont pas besoin de scénarios sophistiqués pour piéger les collaborateurs

Continuité

Prochaines étapes

Activation du MFA sur l'ensemble des comptes
Campagne de suivi dans 6 mois pour mesurer la progression
Sensibilisation intégrée à l'accueil des nouveaux collaborateurs

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Accompagnement

Accompagnement Cybersécurité : Startup application mobile

Un MVP avec des failles critiques transformé en application prête pour la production grâce à un accompagnement cybersécurité sur 3 mois.

Audit

Audit de Vulnérabilités : Site WordPress

Plugins obsolètes, brute force possible et absence de 2FA. Remédiation complète en 48h.

Pentest Active Directory

Pentest Active Directory : Collectivité territoriale

Des serveurs obsolètes et des dossiers partagés trop permissifs ont permis de prendre le contrôle total du réseau en quelques heures.

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services