pisching

Campagne de Phishing

Le phishing est la porte d’entrée de la grande majorité des cyberattaques. Un clic sur un lien malveillant, un identifiant saisi sur une fausse page de connexion, une pièce jointe ouverte sans méfiance : en quelques secondes, la compromission du SI d’un établissement de santé peut commencer.

La meilleure façon de savoir si vos équipes sont prêtes à y faire face ? Les tester dans des conditions réelles, sans les risques d’un incident réel. Les campagnes de phishing simulé de gplexpert permettent de mesurer précisément la vulnérabilité de votre organisation, puis de sensibiliser vos collaborateurs de manière ciblée et progressive pour mieux les protéger face aux cyberattaques.

NOTRE EXPERTISE

VOS BÉNÉFICES

Sommaire

Qu'est-ce que le phishing simulé ?

Une campagne de phishing simulé consiste à envoyer à vos utilisateurs de vrais emails imitant des attaques réelles, mais sans aucune conséquence malveillante. Les messages sont conçus par nos experts pour reproduire les techniques utilisées par les vrais attaquants ciblant les établissements de santé, avec le niveau de sophistication adapté à l’objectif de chaque campagne.

L’objectif n’est pas de piéger vos collaborateurs, mais de les aider à développer des réflexes de vigilance dans un cadre sécurisé et pédagogique. Comprendre comment fonctionne une attaque de phishing, c’est la première étape pour savoir l’identifier et l’éviter.

Identifier les cibles d’une campagne de phishing

Quelles sont les cibles d’une campagne de phishing ?

Au sein d’un établissement de santé, toutes les fonctions sont exposées — mais certains profils sont des cibles prioritaires pour les cyberattaquants. Identifier ces cibles avant de lancer une campagne est une étape essentielle pour adapter les scénarios, prioriser les formations et renforcer la protection là où le risque est le plus élevé.

  • La direction générale et les cadres dirigeants :  Les directeurs généraux, DAF et directeurs des soins sont des cibles de choix pour les attaques de type spear phishing et fraude au président. Les cyberattaquants savent que ces utilisateurs ont accès à des informations sensibles, à des comptes bancaires, à des données stratégiques — et qu’ils sont souvent moins soumis aux procédures de vérification que leurs collaborateurs. Un message frauduleux imitant un partenaire, un avocat ou une autorité de tutelle peut suffire à obtenir un virement ou un accès non autorisé.
  • Les équipes administratives et d’accueil : Ces collaborateurs reçoivent quotidiennement des messages de nombreux expéditeurs inconnus : fournisseurs, patients, administrations, prestataires. Ils sont habitués à ouvrir des pièces jointes et à cliquer sur des liens dans le cadre de leur activité normale. Ce contexte les rend particulièrement vulnérables aux tentatives de phishing imitant une demande administrative, une facture ou une notification de livraison.
  • Les équipes DSI et les administrateurs systèmes : Paradoxalement, les profils techniques sont également des cibles efficaces pour les attaquants. Un administrateur système qui clique sur un lien malveillant n’expose pas seulement son propre compte : il donne potentiellement accès à l’ensemble de l’infrastructure. Les attaques de phishing ciblant les équipes DSI imitent souvent des alertes de sécurité urgentes, des notifications d’éditeurs de logiciels ou des demandes de réinitialisation de mots de passe.
  • Les nouveaux arrivants et les stagiaires : Les utilisateurs récents ne connaissent pas encore les pratiques internes, les habitudes de communication de la DSI ou les procédures de signalement des messages suspects. Ils sont plus enclins à faire confiance à un email qui semble officiel, à cliquer sur un lien sans vérifier l’adresse de l’expéditeur, ou à saisir leurs mots de passe sur un site frauduleux sans déceler les indices d’alerte.
  • Le personnel soignant : Sous pression constante, les professionnels de santé n’ont pas toujours le temps d’analyser avec attention chaque message reçu. Les cyberattaquants exploitent ce contexte en envoyant des emails urgents imitant des notifications du DPI, des alertes de la direction médicale ou des communications de l’ANS et des ARS. Un clic sur un lien malveillant depuis un poste de travail clinique peut avoir des conséquences directes sur la disponibilité des outils de soins.
  • Les prestataires et les tiers avec accès au SI : Les comptes prestataires sont souvent moins surveillés et moins bien protégés que les comptes internes. Compromettre l’identité d’un prestataire ayant accès au SI d’un établissement est une technique d’attaque courante. Les campagnes de phishing simulé peuvent inclure des scénarios ciblant les processus de gestion des accès tiers pour évaluer si vos équipes appliquent bien votre politique de contrôle des accès.

Comment gplexpert identifie vos cibles prioritaires

Avant l’envoi de la première campagne, nos experts analysent votre organisation pour cartographier les profils les plus exposés : qui a accès à quoi, quels services traitent des données sensibles, quels utilisateurs ont des droits élevés sur le SI, quels sont les processus les plus susceptibles d’être exploités par une attaque de phishing.

Cette analyse nous permet d’adapter chaque campagne à la réalité de votre établissement, pas de lancer des tests génériques qui ne reflètent pas les menaces réelles auxquelles vos collaborateurs font face. Nous définissons avec vous les cibles à inclure dans chaque vague, le type de scénario le plus pertinent pour chaque profil, et le niveau de difficulté approprié pour évaluer sans décourager.

Grâce à cette approche sur mesure, vos campagnes de phishing simulé deviennent un véritable outil de pilotage de la sécurité humaine au sein de votre organisation, pas un simple exercice de style.

Les types de scénarios adaptés au secteur santé

  1. Scénarios institutionnels : faux emails de l’ANS, de l’ARS, de l’ANSSI ou du ministère de la Santé annonçant une alerte de sécurité urgente ou une mise à jour réglementaire nécessitant une action immédiate.
  2. Scénarios internes : faux emails de la direction générale, de la DSI ou des ressources humaines : réinitialisation de mots de passe, mise à jour obligatoire, notification paie. Ces messages frauduleux exploitent la confiance naturelle que les utilisateurs accordent à leurs propres services internes.
  3. Scénarios éditeurs et prestataires : faux emails d’éditeurs de logiciels métiers (DPI, PACS, logiciel RH…) signalant une mise à jour critique ou demandant une connexion pour validation. Ces tentatives sont particulièrement efficaces car les collaborateurs ont l’habitude de recevoir ce type de demande.
  4. Scénarios de spear phishing : messages très personnalisés ciblant des profils spécifiques (directeurs, DAF, RSSI, administrateurs système) avec des informations contextuelles crédibles sur leur identité, leurs projets en cours ou leurs interlocuteurs habituels.
  5. Scénarios SMS (smishing) : simulation d’attaques par messages malveillants pour les collaborateurs dotés de téléphones professionnels. Ces tentatives via SMS sont en forte croissance et exploitent la baisse de vigilance des utilisateurs face aux messages courts.

Notre méthodologie en 4 étapes

Étape 1 – Cadrage et identification des cibles

Nous définissons avec vous les objectifs de la campagne, le périmètre ciblé, les profils prioritaires à tester et le niveau de difficulté approprié. Cette première étape est essentielle : adapter les scénarios aux cibles réelles de votre organisation est la condition d’une campagne réaliste et utile. Nous analysons votre organisation, vos outils, vos processus et vos points de vulnérabilité humaine pour construire une campagne sur mesure.

Étape 2 – Exécution de la campagne

Les messages simulés sont envoyés selon un calendrier aléatoire pour éviter les effets d’alerte collective. Notre solution enregistre en temps réel les actions de chaque utilisateur : ouverture du message, clic sur les liens, saisie d’informations d’identité ou de mots de passe sur la fausse page, signalement à la DSI.

Étape 3 – Formation corrective immédiate

Tout collaborateur qui clique sur un lien frauduleux est redirigé immédiatement vers une page pédagogique expliquant les indices qui auraient dû l’alerter et les bonnes pratiques à adopter pour éviter de tomber dans le piège à l’avenir. Cette formation au moment du clic est la plus efficace qui soit pour ancrer durablement les bons réflexes.

Étape 4 – Analyse, rapport et plan de formation

gplexpert produit un rapport détaillé présentant les résultats par service, par profil et par type de scénario. Ces résultats permettent d’évaluer précisément la maturité de chaque groupe d’utilisateurs, d’identifier les points faibles persistants et d’adapter le plan de formations à venir. La restitution est organisée avec votre DSI et votre RSSI pour définir ensemble les actions prioritaires à engager.

Indicateurs mesurés

Taux d’ouverture : proportion d’utilisateurs ayant ouvert le message simulé.

Taux de clic : proportion de collaborateurs ayant cliqué sur les liens malveillants simulés. C’est l’indicateur principal de vulnérabilité face aux attaques de phishing.

Taux de compromission : proportion d’employés ayant saisi des données sensibles (mots de passe, informations d’identité) sur la fausse page de connexion. C’est l’indicateur de risque le plus critique, car il mesure les conséquences réelles qu’une vraie attaque aurait pu avoir.

Taux de signalement : proportion d’utilisateurs ayant signalé le message suspect à la DSI ou à la sécurité. C’est l’indicateur de maturité le plus positif : il mesure la culture de vigilance réelle de vos équipes et leur capacité à prendre le bon réflexe face à une tentative d’attaque.

phishing

Les bonnes pratiques à enseigner grâce aux campagnes

Une campagne de phishing simulé efficace ne se limite pas à mesurer : elle transmet les bonnes pratiques essentielles à retenir. Nos formations correctives apprennent à vos collaborateurs à :

  1. Vérifier l’adresse email de l’expéditeur : un message frauduleux imite souvent un expéditeur de confiance mais utilise une adresse légèrement différente, avec des caractères similaires ou des mentions légales absentes
  2. Ne jamais cliquer sur un lien sans vérifier : passer la souris sur un lien avant de cliquer permet d’identifier l’adresse réelle de destination. Un lien qui prétend mener vers un site officiel mais affiche une URL inconnue est suspect
  3. Ne jamais saisir ses mots de passe sur un site inconnu : les vrais services ne demandent jamais à leurs utilisateurs de saisir leurs identifiants via un lien envoyé par email
  4. Signaler immédiatement tout message suspect : contacter la DSI dès qu’un message semble anormal est un réflexe essentiel, même si on a déjà cliqué
  5. Appliquer la politique de sécurité : chaque établissement a une politique de gestion des accès et des mots de passe : la connaître et l’utiliser au quotidien est la première ligne de défense contre le phishing

Mesurez votre vulnérabilité au phishing dès maintenant

FAQ

Faut-il informer les équipes à l'avance qu'une campagne va avoir lieu ?

Il est recommandé de communiquer sur l’existence du programme de sensibilisation en général, sans annoncer les dates précises des campagnes. L’objectif est de créer une vigilance permanente chez vos utilisateurs, pas de tester leur mémoire à court terme.

Oui. Il est souvent judicieux de démarrer par un périmètre restreint, par exemple les équipes administratives ou la DSI avant de passer à l’ensemble de l’organisation. Cette approche permet de roder la méthodologie, d’adapter les outils et d’obtenir des premiers résultats exploitables rapidement.

Oui. gplexpert respecte strictement le RGPD dans la conduite des campagnes : les données individuelles sont traitées de manière confidentielle et les résultats sont présentés de façon agrégée pour la direction. Il est essentiel de ne jamais utiliser ces informations à des fins autres que la sensibilisation et la formation.