SLAM / B3 / M3.3 / C3.3.3 — Séance 1

👥 Sensibilisation des utilisateurs

Bloc 3 Module 3.3 Séance 1/1 BTS SIO SLAM
FormationBTS SIO option SLAM — IRIS Mediaschool
BlocB3 — Cybersécurité des services informatiques
ModuleM3.3 — Sécurisation des équipements et des usages
Durée3h30 (10 min accroche · 75 min théorie · 85 min TP · 10 min synthèse)
PrérequisC3.3.2 — Filtrage et protection des usages
ContextePME InnovatTech SARL — incident récent : 3 clics phishing constatés

🎯 Objectifs

  • Reconnaître les techniques d'ingénierie sociale (phishing, spear-phishing, vishing, smishing, baiting)
  • Identifier les mécanismes psychologiques exploités (urgence, autorité, peur)
  • Concevoir et planifier une campagne de sensibilisation avec indicateurs de succès
  • Utiliser GoPhish dans un cadre éthique et légal
  • Rédiger un email de phishing de test et analyser ses indicateurs

🔥 Accroche — L'incident Twilio (août 2022)

Une campagne de smishing ciblée se prétendant émaner du support IT envoie un SMS à 163 employés : « Votre compte Twilio a été suspendu, connectez-vous ici ». 33 employés cliquent, 4 saisissent leurs identifiants. Résultat : accès aux données de 125 clients. Malgré des formations « classiques », la technique a fonctionné. La leçon est claire : la sensibilisation doit être pratique, répétée et simulée, pas une présentation annuelle oubliée le lendemain.

📖 Section 1 — Les techniques d'ingénierie sociale

Définition

L'ingénierie sociale désigne l'ensemble des méthodes de manipulation psychologique utilisées pour obtenir des informations confidentielles ou inciter une victime à agir. Les protections techniques réduisent le risque mais n'éliminent pas la vulnérabilité humaine.

Phishing — anatomie détaillée

Le phishing est l'envoi d'emails frauduleux imitant une entité de confiance. Indicateurs classiques :

  • Expéditeur falsifié (spoofing) : le nom affiché est rassurant ("Service Informatique") mais le domaine réel diffère, parfois via typosquatting (innovattch.com au lieu de innovattech.com)
  • Urgence créée : « Action requise sous 24h », « Compte suspendu » — pousse à agir sans réfléchir
  • Lien malveillant : URL visuellement proche du domaine légitime, ou sous-domaine trompeur
  • Pièce jointe piégée : .docx avec macros, faux PDF exploitant des vulnérabilités

Comment vérifier un email suspect — méthode pratique

  1. Ne pas cliquer immédiatement — survoler le lien avec la souris pour afficher la vraie URL
  2. Analyser les en-têtes — vérifier Return-Path, la chaîne Received: et les traces d'acheminement
  3. SPF/DKIM/DMARC — vérifier si le domaine expéditeur passe les vérifications d'authentification
  4. Personnalisation absente — « Bonjour » sans prénom = signal faible
  5. En cas de doute : appeler le service annoncé via un numéro officiel connu

Types d'attaques d'ingénierie sociale

TechniqueVecteurExempleDéfense
Spear-phishingEmail ciblé et personnaliséMessage au DT signé d'un partenaire connu, référence à un projet réelVérification par canal indépendant
WhalingEmail ciblant les dirigeantsFaux email du PDG demandant un virement urgentDouble validation des virements, rappel numéro officiel
VishingAppel téléphoniqueFaux support IT demandant un code SMS de validationRaccrocher, rappeler via numéro officiel
SmishingSMS« Colis en attente — cliquez ici »Ne jamais cliquer sur un lien SMS non sollicité
BaitingSupport physiqueClé USB « trouvée » dans le parkingRemettre à l'équipe IT, ne jamais brancher
PrétextingFausse identité construiteFaux prestataire demandant RIB et identifiants sur duréeVérifier identité par voie officielle

Mécanismes psychologiques exploités

  • Urgence : « Faites-le maintenant » → raccourcit la réflexion
  • Autorité : message d'un supérieur ou d'une institution → réduit la méfiance
  • Peur : menace de sanction ou de perte de données → force l'action irréfléchie
  • Réciprocité : « On vous a aidé, rendez la faveur »
  • Rareté : « Offre limitée » → pression temporelle
💡 Réflexe de détection — Si un message sollicite une réaction émotionnelle forte (colère, peur, excitation), ralentissez et vérifiez. L'émotion est le signal d'alarme.

📖 Section 2 — Concevoir une campagne de sensibilisation

Cycle d'une campagne efficace

  1. Audit initial (baseline) — campagne de phishing simulée sans annonce pour mesurer le taux de clic initial et identifier les services vulnérables
  2. Formation ciblée — sessions courtes (micro-learning), vidéos, infographies, présentiel ; contenu : reconnaître phishing, procédure interne, démos pratiques
  3. Simulation suivante — nouvelle campagne (scénarios différents) pour mesurer l'évolution
  4. Suivi et rétroaction — rapports par service, sessions de retour d'expérience, renforcement des bonnes pratiques

KPIs de mesure

IndicateurObjectif cible
Taux de clic (click-rate)< 5 % sur 3 mois
Taux de signalement> 30 % des destinataires signalent le mail
Taux de saisie de credentials0 %

GoPhish — outil open-source de simulation

GoPhish permet de créer des campagnes de phishing internes, gérer des modèles d'email, suivre les clics et collecter les statistiques. Cadre légal : utiliser uniquement dans le périmètre de l'entreprise, avec accord écrit de la direction et information des représentants du personnel si nécessaire.

Email de test phishing InnovatTech (analyse pédagogique)

De : Service Informatique InnovatTech <it-support@innovat-tech.com>
Objet : ACTION REQUISE — Mise à jour obligatoire de vos identifiants (24 h)

Bonjour,

Dans le cadre d'une mise à jour de sécurité, vous êtes invité(e) à procéder à une actualisation obligatoire de vos identifiants...

https://intranet.innovattech.local/actualisation
(lien réel : http://intranet-innovattech.actualisation-compte.fr)

Délai : 24 heures sous peine de suspension automatique.

Indicateurs de phishing volontairement inclus :

  1. Domaine expéditeur suspect : innovat-tech.com (typosquatting avec tiret)
  2. Lien affiché ≠ URL réelle (tromperie visuelle)
  3. Urgence artificielle (24 heures)
  4. Formule générique « Bonjour » sans prénom
  5. Formulation maladroite (« actualisation obligatoire de vos identifiants »)

🛠️ TP — Atelier sensibilisation InnovatTech (85 min)

Contexte : InnovatTech a subi un incident de phishing (3 clics). Le dirigeant demande une campagne de sensibilisation. Produisez 3 livrables :

  1. Email de test phishing (texte complet avec analyse des 5 indicateurs)
  2. Plan de présentation formation (8 slides, contenu rédigé)
  3. Quiz d'évaluation (5 QCM avec réponses) + 3 KPIs

Structure des 8 slides de formation

  1. Incident récent anonymisé — contexte et leçon
  2. Définition du phishing + statistiques sectorielles
  3. 3 réflexes pratiques (survoler, vérifier l'expéditeur, ne pas céder à l'urgence)
  4. Autres vecteurs : SMS, téléphone, clé USB
  5. Procédure interne si mail suspect (signaler, ne pas cliquer, contacter IT)
  6. Démonstration live avec l'email de test
  7. Quiz interactif (3 questions)
  8. Contact IT de signalement + planning des prochaines simulations

💬 Synthèse — Question finale

Citez 3 mécanismes psychologiques exploités dans les attaques de phishing et expliquez comment les reconnaître.

Urgence — délai serré imposé, reconnaissable à l'emploi de mots comme « immédiatement », « sous peine de ». Défense : vérifier par canal indépendant.
Autorité — signature d'un supérieur ou d'une institution, reconnaissable si on vérifie l'adresse réelle de l'expéditeur.
Peur — menace de sanction, compte suspendu. Défense : identifier l'émotion suscitée et vérifier factuellement l'information avant d'agir.

📝 QCM — Testez vos connaissances

  1. Un email demande une action urgente en 24h avec un lien affiché différent de l'URL réelle et commence par "Bonjour" sans prénom. Quel type d'attaque s'agit-il ?
  2. Quel mécanisme psychologique exploite un message "Action requise sous 24h — votre compte sera suspendu" pour forcer une action irréfléchie ?
  3. Quel outil open-source permet de créer et gérer des campagnes de phishing simulées en interne avec mesure du taux de clic ?
  4. Vrai ou Faux — Le spear-phishing est une attaque générique envoyée à des milliers de destinataires sans personnalisation.
  5. Citez 3 KPIs pertinents pour mesurer l'efficacité d'une campagne de sensibilisation au phishing.
📝 Afficher les corrections
  1. Phishing — l'urgence artificielle, le lien trompeur (URL affichée ≠ URL réelle) et la formule générique sans prénom sont les indicateurs classiques d'un email de phishing de masse.
  2. L'urgence — ce mécanisme raccourcit le temps de réflexion et pousse à agir sans vérification. La présence d'un délai court ("24h", "immédiatement") est le signal le plus fréquent d'une tentative d'ingénierie sociale.
  3. GoPhish — outil open-source de simulation de phishing interne. Permet de gérer des modèles d'email, suivre les clics et collecter les statistiques. À utiliser exclusivement dans le périmètre autorisé, avec accord écrit de la direction.
  4. Faux — le spear-phishing est un phishing ciblé et personnalisé, utilisant des informations collectées préalablement sur la victime (nom, poste, projet) pour paraître légitime et réduire la vigilance.
  5. Taux de clic (click-rate), taux de signalement, taux de saisie de credentials — ces 3 indicateurs permettent de mesurer la vulnérabilité résiduelle et d'évaluer l'amélioration de la vigilance après chaque session de formation.
← C3.3.2 Séance 1 C3.4.1 Séance 1 →