La voix sous-estimée des cyberattaques

Lorsque nous parlons de cyberattaques, nous imaginons souvent des logiciels malveillants, des e-mails d'hameçonnage ou des rançongiciels. Mais dans de nombreuses intrusions réelles, la première étape est bien plus subtile : c'est un appel téléphonique !

 

Le vishing (pour voice phishing) repose sur l'interaction humaine directe pour créer de la confiance, de l'urgence et de la pression. Un appel bien préparé peut sembler plus personnel, plus crédible et plus difficile à remettre en question, surtout lorsqu'il provient d'une source apparemment légitime. Et pourtant, ce vecteur reste largement non testé dans la plupart des organisations.


Alors que les e-mails d'hameçonnage sont désormais largement simulés et compris, les attaques vocales passent sous le radar. Peu d'employés sont formés pour gérer un appel suspect, encore moins savent comment le signaler. Ce manque de préparation fait du vishing une méthode très attractive tant pour les red teamer que pour les vrais attaquants cherchant un accès initial.

 

 

Pourquoi le vishing est-il important ?

Ce qui rend le vishing particulièrement dangereux, c'est son adaptabilité et son invisibilité. Contrairement à l'e-mail, un appel téléphonique n'est ni enregistré ni analysé. Il n'y a pas d'en-têtes à analyser, pas d'URL à scanner. L'attaquant peut changer de ton, ajuster son histoire et insister davantage si la cible hésite, le tout en temps réel.

 

Le vishing exploite des tendances humaines subtiles :

  • Le respect de l'autorité.
  • La peur de retarder un processus.
  • L'inconfort de dire "non" lors d'une conversation en direct.
  • L'instinct d'aide.


Pendant ce temps, les informations en source ouverte et les réseaux professionnels permettent aux attaquants de paraître crédibles. Avec juste un nom, un titre de poste et un peu de recherche sur LinkedIn, ils peuvent construire un scénario qui semble suffisamment plausible pour agir.


Malgré ces risques, de nombreuses organisations ne testent toujours pas ce vecteur, même si, d'après notre expérience, il surpasse largement le phishing  en termes de taux de réussite et reste souvent non signalé par les employés. Ce n'est pas seulement un manque de formation : c'est un angle mort dans la stratégie de détection et de prévention.

 

 

Quand et comment intégrer le vishing dans ses exercices de cybersécurité

Avant d'intégrer le vishing dans votre stratégie de test de sécurité, il est important de reconnaître ce qu'est cette technique et ce qu'elle n'est pas. Contrairement aux phishing qui peut être automatisé et envoyé à grande échelle, le vishing est une technique ciblée, manuelle et hautement élaborée. Il nécessite un certain niveau de maturité organisationnelle pour être significatif.

 

Commencer par les bases

Le vishing n'est pas la première étape d'un parcours de sensibilisation à la cybersécurité. Si vos équipes ont encore du mal à détecter les e-mails de phishing de base, alors lancer une simulation de vishing peut être prématuré et inefficace.

 

Ce type de campagne suppose que :

  • Les employés ont déjà une base solide de sensibilisation.
  • Votre organisation a déjà mené des exercices de phishing ou autre technique d’ingénierie sociale.
  • Vous êtes maintenant prêt à tester des scénarios plus réalistes et à forte pression.

 

Lancer une campagne de vishing sans cette base risquerait de confondre les employés plus que de les éduquer et aboutirait probablement à du bruit plutôt qu'à des informations exploitables.

 

Un exercice ciblé et sur mesure – pas un test de masse

Le vishing n'est pas conçu pour des tests larges sur des centaines d'utilisateurs. Il est, par nature, ciblé et précis.

 

Contrairement au phishing, où les e-mails de masse peuvent ratisser large, les simulations de vishing visent la profondeur plutôt que le volume. Elles sont généralement dirigées vers des individus occupant des postes clés, tels que :

  • Les dirigeants et assistants de direction.
  • Les responsables financiers et de comptabilité.
  • Les parties prenantes juridiques ou de conformité.
  • Tout employé disposant d'un accès privilégié ou d'une influence dans les flux de travail critiques.

 

Ce sont les types d'individus les plus susceptibles d'être ciblés par de véritables attaquants et ceux pour lesquels une tentative de vishing réussie aurait le plus grand impact.

 

 

Ce que nous observons sur le terrain

À travers les nombreuses simulations de vishing que nous avons menées, une chose est constante : un appel téléphonique bien conçu est beaucoup plus puissant que ce que la plupart des organisations anticipent.


Même dans des environnements matures où les simulations de phishing sont correctement gérées, les attaques par appel continuent de générer un engagement élevé et révèlent des faiblesses critiques dans le comportement humain.

 

Hésitation initiale... suivie de conformité

Nous observons souvent que les employés ne font pas aveuglément confiance, beaucoup commencent par hésiter. Mais une fois que l'attaquant établit une crédibilité minimale (en faisant référence à un dirigeant, en utilisant un ton familier ou en exerçant une pression subtile), l'hésitation se transforme en coopération.

 

Qu'il s'agisse de signer un faux document, de télécharger un fichier ou d'exécuter une commande, la curiosité et la légitimité perçue l'emportent souvent sur l'instinct.

 

Les documents office sont encore largement considérés comme fiables

Dans plusieurs simulations, les employés ouvrent des fichiers Excel contenant des macros malveillantes malgré un certain niveau de sensibilisation. Le format, le ton et le contexte de la demande la faisaient paraître légitime, et aucun contrôle technique ne les a empêchés d'activer le contenu. Cela met en évidence un angle mort récurrent : des prétextes bien conçus peuvent contourner à la fois la technologie et la formation.

 

Le réflexe de signalement est rare

Alors que les e-mails de phishinge sont maintenant fréquemment signalés grâce aux campagnes de sensibilisation, les tentatives de vishing ne le sont presque jamais. Même lorsque l'utilisateur soupçonne quelque chose, il signale rarement un appel téléphonique suspect, surtout lorsqu'il est court, poli et enveloppé d'autorité. Ce silence peut donner aux attaquants suffisamment de temps pour avancer sans être remarqués.

 

Certains utilisateurs résistent – et c'est encourageant

Nous avons également pu voir des employés défier l'appelant, demander une vérification ou insister pour une approbation interne avant d'agir. Ces comportements ne sont pas encore la norme, mais ils indiquent que la sensibilisation peut évoluer vers un comportement confiant et axé sur la sécurité lorsque la bonne culture et la bonne formation sont en place.

 

 

Comparaison des performances : phishing vs vishing

Si vous vous demandez si le vishing est vraiment plus efficace que le phishing, les chiffres parlent d'eux-mêmes.

 

À travers un large éventail d'attaques simulées, nous observons systématiquement que le vishing surpasse le phishing, non seulement en termes de taux de réussite mais aussi dans sa capacité à rester non détecté.

 

Simulations de phishing

Les e-mails de phishing sont désormais un outil standard dans les programmes de sensibilisation. La plupart des organisations mènent régulièrement des simulations, et les utilisateurs sont de plus en plus formés pour repérer les signaux d'alerte.

  • Taux de réussite typiques : entre 3% et 15%, selon la maturité de l'organisation.

  • Taux de signalement élevé : dans les environnements bien formés, les tentatives de phishing sont souvent signalées, ce qui peut compromettre toute la campagne de l’attaquant.

 

En bref : le phishing fonctionne toujours, mais il est bruyant, attendu et souvent neutralisé rapidement.

 

Simulations de vishing

Le vishing, en revanche, est beaucoup moins anticipé. Il contourne les boîtes de réception et arrive directement dans la zone de confort d'un employé : une conversation en direct.

  • Taux de réussite typiques : rarement inférieurs à 50%, même dans les environnements avec une culture de la sécurité, le taux de réussite final varie entre 40% et 100% !

  • Réflexe de signalement très faible : la plupart des utilisateurs ne savent pas comment, ou ne se sentent pas habilités à signaler un appel suspect.

 

Les scénarios de vishing ne réussissent pas seulement plus souvent : ils durent également plus longtemps avant d'être remarqués, donnant aux attaquants plus de temps pour approfondir l'accès ou pivoter.

 

La perspective de l'attaquant

Les vrais attaquants, comme les red teams modernes, savent que le vishing offre un chemin plus discret et à plus fort impact vers un accès initial. Il est flexible, réactif et capitalise sur le comportement humain d'une manière que les e-mails ne peuvent plus faire. C'est pourquoi nous nous y appuyons de plus en plus, tout comme les acteurs malveillants.

 

 

Ce que le vishing révèle sur votre organisation

Une campagne de vishing ne teste pas seulement la capacité de vos employés à reconnaître la tromperie : elle met en lumière votre culture de sécurité plus large, vos processus d'escalade et votre résilience au niveau humain.

 

Voici ce qu'une simulation de vishing bien exécutée peut révéler :

 

Réflexes comportementaux sous pression

Les employés remettent-ils en question les demandes inattendues ? Demandent-ils une vérification ou se conforment-ils simplement ? Un appel téléphonique force des décisions en temps réel, sans temps pour analyser les liens ou transférer l'e-mail aux équipes IT. C'est là que l'instinct, la formation et les normes organisationnelles entrent en jeu. Le vishing montre comment les gens réagissent lorsqu'ils sont pris au dépourvu.

 

La maturité de votre culture d'escalade et de réponse

Si quelque chose semble anormal, les employés se sentent-ils confiants pour arrêter le processus ? Savent-ils qui appeler, comment et quoi signaler ? Dans de nombreux cas, le vishing révèle un manque de réflexes d'escalade clairs, non pas en raison de négligence, mais d'incertitude ou de peur d'avoir tort.

 

Visibilité sur les risques négligés

Certains rôles sont des cibles de grande valeur mais ne sont pas inclus dans les différentes campagnes de tests cyber ou les simulations de phishing. Le vishing révèle souvent qui les attaquants cibleraient, non pas en fonction des permissions, mais de l'influence, de la réactivité et de la confiance.

 

L'impact réel de votre programme de sensibilisation

Vos utilisateurs se contentent-ils de cliquer sur l'e-learning ou l'assimilent-ils vraiment ? Le vishing aide à mesurer à quel point la sensibilisation se traduit par une résistance dans la vie réelle, et si un apprentissage plus pratique et expérientiel est nécessaire.

 

Le vishing ne teste pas seulement les individus : il révèle à quel point vos personnes, processus et culture s'unissent sous pression. Et c'est finalement ce qui détermine votre capacité à arrêter une véritable intrusion.

 

 

Comment nous aidons les organisations à mener des simulations de vishing réalistes

Nous avons conçu et exécuté des exercices de vishing dans divers secteurs : de la finance et du gouvernement à la technologie et aux infrastructures industriels critiques. Chaque engagement est conçu pour être réaliste, respectueux et percutant, avec l'objectif d'améliorer la résilience sans créer de peur ou de blâme.

 

Nous prenons en charge l'ensemble du processus, notamment :

  • Sélection des cibles et conception de scénarios
    Nous adaptons chaque campagne à votre environnement, votre profil de risque et les types d'attaquants auxquels votre organisation est susceptible de faire face.

  • Rédaction de scripts et ingénierie de prétextes
    Chaque appel est construit sur des techniques psychologiques éprouvées : urgence, crédibilité, pression, toutes adaptées à votre contexte.

  • Exécution en direct par des opérateurs formés
    Nos appelants sont des professionnels expérimentés, capables de s'adapter en temps réel aux réactions de vos employés.

  • Rapports détaillés et analyse comportementale
    Au-delà des métriques de succès, nous fournissons des informations sur les réflexes, les habitudes d'escalade et le comportement des utilisateurs.

  • Recommandations exploitables

    Nous vous aidons à transformer les résultats en améliorations concrètes : ateliers de sensibilisation, flux de travail d'escalade et renforcement spécifique aux rôles.

 

Que ce soit dans le cadre d'une campagne autonome ou dans le cadre d'une initiative plus large de red teaming, les simulations de vishing sont l'un des outils les plus puissants pour tester ce que vos défenses ne peuvent pas enregistrer : vos collaborateurs.
Partager cet article