Résistance au phishing
des cabinets d’expertise-comptable

Une étude portant sur 1279 mails de phishing envoyés à 357 participants

Résistance au phishing des cabinets d'expertise-comptable

Table des matières

^

I. PROTOCOLE DE L'ÉTUDE

^

II. LES RÉSULTATS BRUTS

^

III. ANALYSE DE RÉSULTATS

^

IV. CONCLUSION ET PERSPECTIVES

^

V. ANNEXES : RÉSULTATS PAR CABINETS

Extrait des résultats 

I. PROTOCOLE DE L’ÉTUDE

Envoi et suivi des mails

Le phishing-test repose sur une plateforme d’envoi et de suivi de mails simulant une attaque par phishing.

On dispose de mails de phishing que l’on envoie à tout ou partie (par le système de groupes) des employés d’une entreprise.
Les employés ne sont pas prévenus qu’un phishing-test est en cours.

On mesure ensuite combien de personnes ont cliqué sur le lien contenu dans le mail.
Dans un vrai mail de phishing, ce lien envoie vers une page depuis laquelle le pirate va soit récupérer des coordonnées de la personne au moyen d’un formulaire, soit installer un logiciel malveillant sur sa machine, soit encore faire les deux.

Dans le cadre du test, les personnes ayant cliqué arrivent sur une page leur annonçant que c’est un phishing test et leur expliquant comment ils auraient pu identifier ce mail comme un phishing.

Page apparaissant quand on clique sur le lien avec 3 liens vers les pages complémentaires.

Pages complémentaires de formation / explications

Niveau de difficulté des phishings

Principe
Les (vrais) mails de phishing sont plus ou moins bien faits. Certains sont tellement mal faits qu’il semble inimaginable qu’ils puissent duper des victimes, alors que d’autres sont tellement bien faits qu’il faut
s’y reprendre à plusieurs fois, voire demander un avis extérieur pour savoir si c’est un vrai mail ou un phishing.

Nous avons défini 5 niveaux de phishing, des plus faciles à produire pour un pirate (et les plus faciles à détecter) aux plus difficiles à produire (et difficiles à détecter).

La plateforme permet ensuite de choisir le niveau de chaque test. Chaque personne est testée sur au moins 3 niveaux, dont au moins un de chacun des niveaux 3, 4 et 5.

On détermine ainsi la résistance à une attaque de phishing selon son niveau.

Les différents niveaux

Niveau 1

Le mail est basique, assez mal rédigé, avec des fautes de grammaire et de français, il semble directement sorti de la traduction Google sans correcteur d’orthographe, il ne contient pas d’image et est non signé, les adresses de l’expéditeur et des liens externes ne ressemblent en rien à de vraies
adresses.

Exemple de mail de niveau 1

Niveau 2

Le mail contient une ou deux images, il assez cohérent dans sa structure, dans un français presque correct. Cependant les adresses de l’expéditeur et des liens externes ne ressemblent toujours pas à de vraies adresses.

Exemple de mail de niveau 2

Niveau 3

Le mail est bien fait. Le français est correct, le mail est signé, les adresses de l’expéditeur et des liens externes sont crédibles même si elles ne sont pas réelles (on utilise des noms de domaine ressemblant à des vrais et qui soient libres à l’achat). Le mail n’est pas personnalisé par rapport à la cible, pour un pirate c’est le même qui est envoyé par centaines de milliers à des victimes potentielles.

Exemple de mail de niveau 3

Niveau 4

Ces mails reposent sur la personnalisation du mail avec l’identité du destinataire ou de son entreprise. Typiquement on commence par « bonjour Paul… » (s’il s’appelle Paul) et dans le mail on va trouver une référence à son entreprise. Cette personnalisation se limite aux éléments disponibles dans l’adresse mail du destinataire (nom, entreprise et éventuellement prénom), ce qui est facile à intégrer dans une programmation de base.

Exemple de mail de niveau 4 (le nom du destinataire apparaît au début du mail)

5
Chapitres
34
Pages

Remplissez ce formulaire et
téléchargez les résultats de l’étude

Expert-comptable et cybersécurité – Livre blanc

Remplissez ce formulaire et téléchargez les résultats de l'étude