Concevoir des scénarios de phishing qui ressemblent à de vraies attaques

Vous créez une campagne de phishing via votre plateforme de simulation. Vous choisissez un scénario "colis en attente" basique (difficulté <20% selon l'échelle de sophistication) avec expéditeur générique, fautes d'orthographe évidentes, lien HTTP non sécurisé. Résultat ? 80% de vos équipes le repèrent (CTR de 20%). Vous vous félicitez, mais en réalité, vous n'avez rien testé d'un point de vue réaliste. Les vrais attaquants utilisent des techniques d'APT (Advanced Persistent Threats) bien plus sophistiquées : spear phishing ciblé (T1566.001), BEC (Business Email Compromise - T1566.002), whaling (T1566.003), avec ingénierie sociale avancée basée sur OSINT.

Le piège du scénario trop évident : faux sentiment de sécurité

Un email avec des fautes d'orthographe évidentes, un expéditeur suspect (domaine générique sans SPF/DKIM/DMARC), un lien bizarre (URL avec redirections multiples, pas de HTTPS). Vos équipes le repèrent ? Normal, car les IOCs (Indicators of Compromise) sont flagrants. Mais ça ne les prépare pas aux vraies attaques où les attaquants utilisent des techniques d'évasion avancées.

Les attaquants modernes font mieux : ils copient vos vrais emails via email thread hijacking (compromission de compte légitime), utilisent vos vrais domaines avec des variantes subtiles (homoglyphes Unicode, typosquatting, domain lookalike), imitent votre style de communication via analyse stylométrique (stylometric analysis), et utilisent des domaines compromis avec headers SPF/DKIM/DMARC valides pour passer les filtres email security.

Analyse de vos emails réels : OSINT et modélisation comportementale

La première étape : analysez ce que vos équipes reçoivent vraiment via votre email security gateway (analyse des logs SMTP, headers, patterns). Un email de votre RH pour une formation ? Analysez le template, le style d'écriture (stylométrie), les pièces jointes habituelles, les horaires d'envoi. Un email de votre DSI pour une mise à jour système ? Analysez le format, les liens utilisés, les domaines référencés. Un email de votre direction pour une annonce ? Analysez le ton, la structure, les signatures. Ce sont ces emails-là qu'il faut imiter via des techniques de deepfake textuel (textual deepfake), pas des emails génériques de "colis en attente" qui ne correspondent pas à votre contexte organisationnel.

Utilisez des outils d'analyse de communication (communication analysis tools) pour extraire les patterns : fréquence d'envoi, heures habituelles, style d'écriture, domaines utilisés, types de pièces jointes. Créez des personas d'expéditeurs légitimes (legitimate sender personas) pour chaque scénario, avec leurs caractéristiques comportementales modélisées.

Les techniques d'ingénierie sociale à intégrer selon MITRE ATT&CK

• Urgence (T1566.001 - Spear Phishing Attachment) : "Action requise dans les 24h" pour créer un sentiment de pression temporelle (time pressure) exploitant le biais cognitif de disponibilité (availability heuristic). Utilisez des deadlines réalistes mais serrées.
• Autorité (T1566.002 - Spear Phishing Link) : Imiter un email de la direction ou du DSI pour exploiter la hiérarchie (authority bias) et le respect de l'organisation. Utilisez des techniques de spoofing de domaine (domain spoofing) ou d'email thread hijacking (conversation hijacking).
• Familiarité (T1566.003 - Spear Phishing via Service) : Utiliser des informations connues via OSINT (nom du collaborateur, service, projets en cours, événements récents) pour créer un sentiment de familiarité (familiarity bias). Techniques de pretexting basées sur données publiques.
• Curiosité (T1566.004 - Spear Phishing via Service) : "Vous avez été mentionné dans ce document" pour piquer l'intérêt (curiosity gap) et déclencher l'ouverture. Utilisez des techniques de social proof (preuve sociale) et de rareté (scarcity principle).
• Peur (T1566.005 - Spear Phishing via Service) : "Votre compte sera suspendu" pour créer une réaction émotionnelle (emotional manipulation) exploitant le biais de perte (loss aversion). Attention : ne pas abuser pour éviter la désensibilisation.
• Quid Pro Quo (T1566.006) : "Cliquez ici pour recevoir votre bonus" - échange apparent de valeur. Technique efficace pour les départements commerciaux.
• Pretexting avancé (T1566.007) : Création d'un scénario crédible basé sur des informations réelles collectées via OSINT (LinkedIn, sites web, réseaux sociaux).

Varier la difficulté pour progresser

Commencez par des scénarios moyens : emails crédibles mais avec des indices détectables (domaine légèrement différent, style un peu décalé). Puis augmentez la difficulté : emails quasi-parfaits qui nécessitent une vraie vigilance. L'objectif n'est pas de piéger, mais d'entraîner.

Cibler par service : chaque équipe a ses risques

Votre équipe RH reçoit beaucoup d'emails de candidatures ? Testez des emails de "candidature avec CV en pièce jointe". Votre équipe financière gère des virements ? Testez des emails de "demande de virement urgent". Chaque service a ses risques spécifiques, vos scénarios doivent les refléter.

Conclusion : réalisme et pédagogie

Un bon scénario de phishing, c'est un équilibre : assez réaliste pour tester vraiment vos équipes, mais assez pédagogique pour qu'elles apprennent. Si elles se sentent piégées, elles développeront de la méfiance. Si c'est trop évident, elles n'apprennent rien. Trouvez le juste milieu, et vos campagnes deviendront de vrais outils de sensibilisation.