Nous définissons d'abord les objectifs et établissons le périmètre, en décidant du type d'emails de phishing à utiliser et de la fréquence des simulations. Nous déterminerons également le public cible, y compris le ciblage de groupes ou départements spécifiques.

Après avoir élaboré un plan, nous créons des emails de phishing fictifs réalistes qui ressemblent de près à de véritables menaces de phishing, basés sur des modèles de phishing et des kits de phishing disponibles sur le dark web. Nous prêtons une attention particulière aux détails tels que l'objet de l'email, les adresses des expéditeurs et le contenu pour rendre les simulations réalistes. Nous inclurons également des tactiques d'ingénierie sociale, pouvant aller jusqu'à usurper l'identité d'un cadre ou d'un collègue en tant qu'expéditeur, pour augmenter la probabilité que les employés cliquent sur les emails.

Une fois le contenu finalisé, nous enverrons les emails de phishing simulés au public cible par des moyens sécurisés, en respectant la confidentialité.

Après l'envoi des emails malveillants fictifs, nous suivrons et enregistrerons de près la manière dont les employés interagissent avec les emails simulés, en surveillant s'ils cliquent sur les liens, téléchargent les pièces jointes ou fournissent des informations sensibles.

Suite au test de phishing, nous analyserons les données de la simulation pour déterminer des tendances telles que les taux de clics et les vulnérabilités de sécurité. Ensuite, nous ferons un suivi avec les employés ayant échoué à la simulation en leur fournissant un retour immédiat, expliquant comment ils auraient pu identifier correctement la tentative de phishing et comment éviter les attaques réelles à l'avenir.