La technologie ne résout pas tout. Un antispam professionnel comme Hornetsecurity bloque la très grande majorité des tentatives de phishing. Mais certains e-mails sophistiqués passent toujours au travers, particulièrement le spear phishing (attaque ciblée sur une personne précise).

À ce moment-là, c'est votre collaborateur qui décide. Et sa décision dépend de sa capacité à reconnaître les signaux d'alerte.

Pourquoi les formations classiques ne fonctionnent pas

Le problème avec les formations annuelles de 2 heures sur la cybersécurité : elles sont oubliées en quelques semaines. La mémoire humaine fonctionne par répétition, pas par accumulation ponctuelle.

Les attaquants, eux, s'améliorent en permanence. Les e-mails de phishing d'aujourd'hui sont souvent indiscernables d'un vrai message de votre banque, de Microsoft ou de votre direction générale.

La méthode qui fonctionne : la simulation

La solution la plus efficace est la simulation de phishing en conditions réelles. Concrètement :

  1. Vous envoyez de faux e-mails de phishing à vos collaborateurs à leur insu
  2. Ceux qui cliquent reçoivent immédiatement une micro-formation contextuelle
  3. Vous mesurez l'évolution du taux de clics dans le temps

Les études montrent que cette méthode réduit le taux de clics de 65 % en 6 mois. Les collaborateurs apprennent à reconnaître les signaux par l'expérience, pas par la théorie.

Les 5 signaux d'alerte à enseigner

  • L'urgence artificielle : "Agissez maintenant ou votre compte sera bloqué"
  • L'expéditeur douteux : le nom s'affiche correctement mais l'adresse e-mail est bizarre
  • Les liens suspects : passer la souris sur le lien sans cliquer révèle la vraie URL
  • Les pièces jointes inattendues : même venant d'un contact connu
  • Les demandes inhabituelles : votre DG ne vous demandera jamais de virer de l'argent par e-mail sans vous appeler

Le Business Email Compromise

L'arnaque au président (Business Email Compromise) est une variante particulièrement coûteuse. Un attaquant se fait passer pour le PDG de l'entreprise et demande par e-mail un virement urgent à un "fournisseur". Les PME françaises ont perdu des millions d'euros via cette technique.

La contre-mesure : une procédure systématique de rappel téléphonique pour tout virement supérieur à un certain seuil, quel que soit l'expéditeur apparent de la demande.