Il existe 6 formes principales de phishing :

• Phishing classique — emails de masse imitant une banque, une livraison ou une administration. Plus de 3,4 milliards d'emails frauduleux envoyés chaque jour (Forbes 2024). Souvent reconnaissable aux fautes et à l'urgence artificielle.
• Spear phishing — attaque ciblée sur une personne précise, avec des informations réelles (nom du responsable, projet en cours). Représente 66 % des violations confirmées (Verizon DBIR 2024).
• Whaling — variante du spear phishing visant spécifiquement les dirigeants et cadres, pour accéder aux finances ou aux décisions stratégiques.
• Smishing — phishing par SMS. Imite généralement une alerte bancaire, une livraison de colis ou un service public. Le taux d'ouverture des SMS est supérieur à 90 % — ce vecteur est en forte croissance.
• Vishing — phishing vocal par téléphone. Le fraudeur se fait passer pour le support informatique, une banque ou une administration pour soutirer des informations ou déclencher une action immédiate.
• BEC (Business Email Compromise / Fraude au président) — usurpation d'identité d'un dirigeant ou partenaire pour ordonner un virement ou obtenir des données sensibles. Première source de pertes financières liées au cybercrime : 2,9 milliards USD en 2023 (FBI IC3 2024).

Parmi les plus importantes figurent ISO 27001, NIST, nLPD, RGPD et PCI-DSS. Elles fournissent des cadres robustes pour sécuriser vos systèmes et garantir la protection des données.

La nLPD impose la notification au PFPDT dans les 72 heures, l'information des personnes concernées si le risque est élevé, et la documentation de l'incident. Les amendes peuvent atteindre 250 000 CHF pour les personnes responsables.

La nLPD exige la tenue d'un registre des traitements, la notification des violations dans les 72 heures, la réalisation d'analyses d'impact et la mise en place de mesures techniques appropriées. Les amendes peuvent atteindre 250 000 CHF.

Notre approche repose sur la fiabilité, l’excellence et l’innovation. Nous mettons tout en œuvre pour maintenir une posture de sécurité informatique robuste chez nos clients, tout en restant à la pointe des dernières évolutions technologiques.

L’optimisation de la performance, la réduction des vulnérabilités et la continuité de service. Vous disposez ainsi d’un réseau à la fois fiable et évolutif.

L'analyse couvre 5 domaines prioritaires pour les PME :

• Réseau : configuration du pare-feu, accès distants (VPN), segmentation.
• Site web : SSL/TLS, en-têtes de sécurité, vulnérabilités courantes (OWASP Top 10).
• Authentification : politique de mots de passe, MFA, gestion des accès administrateurs.
• Formation : niveau de sensibilisation des équipes au phishing (91 % des cyberattaques commencent par un email — Proofpoint 2024).
• Données : classification des données sensibles, conformité nLPD.

Selon vos besoins, l'analyse peut se concentrer sur un ou plusieurs domaines spécifiques.

Vous recevez un plan d’action détaillé, avec des recommandations personnalisées et un calendrier de mise en œuvre. Bexxo assure également un suivi pour mesurer les progrès et ajuster la stratégie si besoin.

Bexxo propose des audits de sécurité web et réseau, des tests de pénétration (pentest), du consulting en cybersécurité, des formations anti-phishing avec PhishTrainer, et une veille continue sur les vulnérabilités via CVE Find.

Bexxo propose 5 familles de services : (1) Audit de sécurité web et réseau (ISO 27001, NIST CSF) ; (2) Tests d'intrusion (pentests) ; (3) Surveillance des vulnérabilités via CVE Find, intégrant les données MITRE, NVD et CISA KEV ; (4) Simulation de phishing via PhishTrainer, logiciel suisse avec chiffrement côté client ; (5) Conseil et conformité nLPD. Nos audits détectent en moyenne 12 à 15 vulnérabilités critiques par PME.

Les principaux enjeux incluent la protection des données sensibles, la conformité réglementaire (RGPD, ISO 27001, etc.), la prévention contre les attaques et la gestion de crise. Bexxo vous aide à hiérarchiser ces priorités et à y répondre efficacement.

Le manque de sensibilisation expose l’entreprise à des risques très concrets : ouverture d’emails frauduleux, installation de logiciels malveillants, fuite de données, ou encore mauvaises pratiques comme l’utilisation de supports non chiffrés ou le partage de mots de passe. Ces erreurs peuvent conduire à des cyberattaques coûteuses, voire à des interruptions d’activité.

De plus, un personnel non sensibilisé peut devenir la porte d’entrée involontaire d’un ransomware, d’un vol de données ou d’un espionnage industriel. Dans un contexte de numérisation croissante, ignorer cet aspect revient à laisser une faille permanente dans la défense de l’entreprise.

Dans une PME, tous les collaborateurs doivent être formés, au moins sur les bases de la cybersécurité. Chaque profil est concerné : l’administratif qui gère des documents sensibles, le commercial qui échange par email avec l’extérieur, ou le technicien qui accède aux outils de gestion. La formation doit être adaptée au rôle et aux risques associés à chaque poste.

En complément, les équipes techniques, les référents sécurité (quand ils existent), et la direction doivent suivre des formations plus approfondies pour comprendre les enjeux, piloter les décisions, et réagir efficacement en cas d’incident. Dans une PME, où les ressources sont limitées, former intelligemment et progressivement est souvent plus réaliste que viser l’exhaustivité.

Bexxo est une entreprise experte en cybersécurité basée à Neuchâtel en Suisse. Nous réalisons des audits, offrons des services de conseil et aidons nos clients à améliorer la protection de leurs systèmes informatiques face aux menaces actuelles.

C’est un diagnostic de l’architecture et des configurations de votre infrastructure (routeurs, pare-feu, commutateurs, etc.) afin d’y repérer d’éventuelles failles de sécurité ou goulots d’étranglement.