Passer au contenu
Français
Portail client Se connecter
Contacter le support
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Configuration de Bluesecure Phishing™ SMS

  • Créer une campagne de simulation de phishing SMS
  • Etaler et automatiser l’envoi des simulations de phishing SMS
  • Créer une page pédagogique personnalisé suite à une simulation de phishing SMS
  • Rajouter une redirection vers un site légitime suite à une simulation de phishing SMS
  • Simulation de Phishing par SMS: Guide Pratique

 


Depuis 2024, les opérateurs télécoms renforcent leurs filtres anti-fraude sous le contrôle de l’autorité de régulation, ont décidé de renforcer les règles d’utilisation des émetteurs SMS communément appelés « champ émetteur », « OAdC » ou « Senders ID ». 

À compter du 1er mars 2026, les règles suivantes rentrent en vigueur et le non-respect de ces modifications contractuelles s'accompagnent d'amendes potentielles pour les envois non conformes.

Rappel du dispositif existant :

  • Champs émetteurs « Strictement Interdits » (SI) : jugés trompeurs ou susceptibles d’induire l’utilisateur en erreur, ces expéditeurs sont interdits.

  • Champs émetteurs « Interdits Sauf Autorisation » (ISA) : légitimes mais sensibles (marques, institutions, services critiques), ces expéditeurs sont utilisables uniquement avec une autorisation écrite de la marque à son agrégateur, et une déclaration validée par les opérateurs.

  • Le champ émetteur ne doit pas ressembler à un numéro de téléphone. Il ne peut donc pas être composé exclusivement de caractères numériques.

  • Les champs émetteurs doivent permettre l'identification claire et immédiate de l'annonceur, d'une de ses marques ou de l'un de ses produits. Il ne doit apporter aucune confusion avec une marque tierce.

Renforcement du dispositif :

  • Le champ émetteur ne peut pas être un mot générique (exemples : « alerte », « rdv », « opticien », « boutique », etc.) sauf s’il s’agit du nom d’une société ou d’une marque ou d’un produit, sous réserve de présentation d’un justificatif valable.

  • Le champ émetteur doit contenir uniquement des caractères alphanumériques latins (chiffre de 0 à 9 et lettres de « a » à « z » ou de « A » à « Z »). Tout autre caractère est interdit : caractères spéciaux, caractères accentués, espaces, signes de ponctuations, alphabet non latin.

Des dérogations pour l’utilisation de caractères spéciaux sont possibles uniquement quand elles ne présentent aucun risque de confusion. Les demandes devront être dûment justifiées et seront soumises à une validation par les opérateurs. Ces demandes de dérogation seront facturées.

Tout identifiant d'expéditeur non conforme peut être remplacé ou bloqué par nos systèmes ou les opérateurs de téléphonie mobile français.

 

 

 

 

Créer une campagne de simulation de phishing SMS

Étape 1 : Accéder à la création de campagne

1.1 Naviguez vers l’onglet « Phishing », puis « Campagnes ».

1.2 Cliquez sur le bouton « Créer une campagne ».

1.3 Nommer votre scénario dans le formulaire de création.

Étape 2 : Créez votre scénario SMS

2.1 Créez un ou plusieurs scénarios d’email :

  • Cliquez sur « Ajouter des scénarios ».
  • Cliquez sur « Créer un scénario »

2.2 Configurez votre scénario SMS :

  • Nommez votre scénario.
  • Décochez la casse Email et cochez la case SMS.
  • Sélectionnez un nom d’expéditeur (il sera visible par les destinataires du SMS).
  • Cliquez sur le symbole “+” pour rentrer le contenu su SMS.

Comment ajouter un lien dans mon SMS ?

Pour insérer un lien dans votre SMS, il est indispensable d’inclure la balise {url}. Cela générera automatiquement le lien souhaité.
Si vous souhaitez personnaliser davantage votre message, vous pouvez également ajouter d’autres balises. Par exemple, pour insérer le prénom du destinataire, utilisez {firstname}.

  • Une fois que vous avez ajouté les balises nécessaires, sélectionnez le visuel de la page de destination que vous souhaitez utiliser, puis cliquez sur “Enregistrer” pour finaliser l’opération.

2.3 Comme dans une campagne classique, vous avez le choix d’ajouter une page pédagogique et/ou une page de destination.

2.4 Enregistrez vos notifications en cliquant sur « Enregistrer »

2.5 Cliquez sur « Retour » pour revenir sur la page de création de la campagne.

 

Étape 3 : Choisir les destinataires
  • Sélectionnez vos groupes d’utilisateurs qui recevront la simulation de phishing.
Étape 4 : Définir les actions après hameçonnage

Vous pouvez choisir parmi plusieurs actions lorsque l’utilisateur est piégé :

✅ Afficher une page pédagogique (personnalisable).

✅ Retester l’utilisateur avec un nouvel email X jours après.

✅ Ajouter l’utilisateur à un groupe spécifique (ex. « Utilisateurs hameçonnés en janvier »).

✅ Envoyer un email aux utilisateurs hameçonnés.

Étape 5 : Tester et contourner les filtres de sécurité

Avant de lancer la campagne, nous vous recommandons fortement :

  • D’effectuer un test pour vérifier la délivrabilité des emails.
  • De configurer vos systèmes de sécurité pour éviter le blocage de vos emails de simulation
Étape 6 : Planifier l’envoi des emails

Définissez le créneau d’envoi : fréquence, horaires, etc., en fonction de vos besoins.

Étape 7 : Lancer votre campagne

Lorsque tout est prêt, cliquez sur « Confirmer et préparer au lancement ».

Félicitations 🎉, votre campagne de simulation de phishing est prête à être déployée !

 

 

Etaler et automatiser l’envoi des simulations de phishing SMS

Automatiser les envois

Avec BlueSecure Phishing, vous pouvez facilement automatiser vos campagnes pour assurer une sensibilisation continue et efficace de vos utilisateurs.

  1. Sélectionner plusieurs scénarios
    • Lors de la création de votre campagne, choisissez jusqu’à 200 scénarios différents.
    • Ces scénarios peuvent être variés selon la langue, la complexité et le type d’attaque simulée.

2. Modifier votre scénario

  • Dans la liste des scénarios sélectionnés, cliquez sur l’icône ✏️ Modifier à droite de chaque scénario.
  • Faites défiler la page jusqu’à la case “SMS” et cochez-la.
  • Sélectionnez un nom d’expéditeur (il sera visible par les destinataires du SMS).
  • Cliquez sur le symbole “+” pour créer un nouveau modèle SMS, rédigez le contenu du SMS, puis cliquez sur “Enregistrer”Le message doit rester crédible, court et inciter à cliquer sur le lien, tout en respectant le cadre pédagogique et légal.
  • Cliquez sur Enregistrer avant de quitter l’éditeur de scénario pour ne pas perdre vos paramètres SMS.

3. Planifier l’envoi des emails

  • Accédez à la partie « Planification » dans l’éditeur de campagne
  • Définissez la fréquence d’envoi via le sélecteur intégré.

4. Choisir un rythme adapté à vos besoins

  • Automatisation possible sur une journée, une semaine, un mois, un an.
  • Sélectionnez « Rythme personnalisé » pour un paramétrage plus précis.

5. Activer ou désactiver la répétition des campagnes

  • Option « Boucle automatique » : les emails se renvoient en continu selon votre fréquence choisie.
  • Option « Campagne unique » : chaque utilisateur reçoit un seul scénario et la campagne s’arrête lorsqu’ils ont tous été ciblés.

Fonctionnement de l’algorithme d’envoi

Lorsque vous planifiez une campagne avec un étalement sur plusieurs jours (par exemple, sur une semaine), l’algorithme d’envoi procède de la manière suivante :

  1. Consultation des envois
    • Pour visualiser les heures d’envoi prévues dans la V2, rendez-vous dans la section « Événements à venir ». Les envois s’y affichent comme aléatoires, car ils sont répartis automatiquement selon la logique décrite ci-dessous.
  2. Définition de la période L’algorithme prend en compte :
    • Le nombre total de jours sur lesquels étaler les envois
    • L’amplitude horaire quotidienne (début et fin de journée)
  3. Répartition intelligente
    • La période est découpée jour par jour, puis chaque journée est divisée en plages horaires.
    • L’ensemble des destinataires est ensuite réparti de manière aléatoire mais équilibré dans ces créneaux, en fonction du nombre total d’e-mails à envoyer.

Conseil de paramétrage :
Pour une campagne plus réaliste et plus ciblée, nous vous recommandons de limiter la plage horaire d’envoi. Exemple : sur une campagne d’une semaine, restreindre les envois à une plage de 10h à 12h permet de concentrer les envois sur une période plus crédible et d’en faciliter l’analyse.

 

 

Créer une page pédagogique personnalisé suite à une simulation de phishing SMS

La page pédagogique permet de former les utilisateurs directement après un clic sur un lien de phishing ou l’ouverture d’une pièce jointe. La personnaliser renforce l’impact pédagogique en adaptant le message à votre organisation

Suivez les étapes de création d’une simulation de phishing classique. La seule différence réside dans une action supplémentaire entre l’étape 2.3 et 2.6.

Étape 1 : Accéder à la création de campagne

1.1 Naviguez vers l’onglet « Phishing », puis « Campagnes ».

1.2 Cliquez sur le bouton « Créer une campagne ».

Étape 2 : Configurer votre campagne

2.1 Nommer votre campagne dans le formulaire de création.

2.2 Sélectionner un ou plusieurs scénarios d’email :

  • Cliquez sur « Ajouter des scénarios ».
  • Sélectionnez des modèles d’e-mails ou de sms dans notre catalogue (filtrables par langue et catégorie).
  • OU créez vos propres scénarios sur mesure

2.3 Une fois les scénarios sont sélectionnés, cliquez sur le petit crayon ✏️ à droite qui apparait sur chaque scénario choisi.

  • Cochez la case “Page pédagogique” puis cliquez sur le bouton “Sélectionner un modèle de page”.
  • Un message s’affichera : “Voulez-vous enregistrer vos modifications avant de quitter ?”.
  • Vous pourrez alors sélectionner un modèle de page pédagogique, filtrable par languecatégorienom, ou niveau de difficulté.
  • OU cliquez sur “Créer un nouveau modèle” (en haut à droite de l’écran).
  • Pour créer une page pédagogique personnalisée, cliquez sur “Créer un nouveau modèle”, puis personnalisez votre page en ajoutant des blocs de texte, des images, un logo, etc. Vous pouvez également la modifier via le code source ou avec l’aide de l’IA.

Ces options de personnalisation sont également disponibles si vous choisissez simplement de modifier un modèle existant.

2.4. Cochez la case SMS, ajoutez un nom d’expéditeur et ajouter un message.

2.4 Une fois le ou les scénarios sélectionnés, et la page pédagogique est prête, cliquez sur « Enregistrer ».

2.5 Vous pouvez toujours la modifier ultérieurement en cliquant sur ✏️ Modifier.

2.6 La page pédagogique que vous avez créée sera sauvegardée pour de futures réutilisations possibles.

Pour la retrouver, il vous suffit de cocher « Page pédagogique », de cliquer sur « Changer de modèle », puis de sélectionner la case située en haut à gauche appelée « Modèles de l’organisation».

Vous y retrouverez toutes les pages pédagogiques que vous avez utilisées précédemment.

Une fois votre scénario terminé vous pouvez revenir sur la page de création de campagne puis suivre les dernières étapes :

Étape 3 : Choisir les destinataires

Étape 4 : Définir les actions après hameçonnage

Étape 5 : Tester et contourner les filtres de sécurité

Étape 6 : Planifier l’envoi des emails

Étape 7 : Lancer votre campagne

 

 

Rajouter une redirection vers un site légitime suite à une simulation de phishing SMS

Pourquoi ajouter une redirection vers un site légitime dans une simulation de phishing ?

Dans les attaques de phishing réelles, les cybercriminels redirigent souvent leurs victimes vers un site légitime après avoir cliqué sur un lien frauduleux ou scanné un QR Code. Cette technique vise à :

  • Renforcer la crédibilité de l’attaque
  • Dissiper les soupçons
  • Réduire les risques de détection ou de signalement

Objectifs dans un contexte de simulation :

  • Reproduire fidèlement les techniques utilisées par les attaquants, pour un entraînement plus réaliste.
  • Évaluer la vigilance de l’utilisateur jusqu’au bout, y compris lorsqu’il est redirigé vers un site familier.
  • Renforcer l’impact pédagogique en exposant l’utilisateur à un scénario complet, du clic jusqu’à la redirection.
  • Limiter la frustration de l’utilisateur en l’amenant vers un site qu’il connaît (ex. : portail RH, intranet, site public de l’entreprise, etc.).

Les étapes à suivre pour la création d’une redirection vers une page légitime

Cette configuration s’effectue au moment de définir les actions après hameçonnage (étape 4 de votre campagne).

Étape 1 : Accéder à la création de campagne

Étape 2 : Configurer votre campagne

Étape 3 : Choisir les destinataires

Étape 4 : Définir les actions après hameçonnage

Cochez la case ✅ « Afficher une page post-hameçonnage ». Vous serez alors redirigé vers la page d’un site légitime. Par défaut, une correspondance est établie entre le scénario et la page du site légitime. Par exemple, un scénario Microsoft redirigera vers la page officielle de Microsoft.

Vous pouvez également cliquer sur le bouton « Changer de modèle » si vous souhaitez remplacer la page légitime par une autre, ou cliquer sur le petit crayon si vous souhaitez la modifier.

Étape 5 : Tester et contourner les filtres de sécurité

Étape 6 : Planifier l’envoi des emails

Étape 7 : Lancer votre campagne

 

 

Simulation de Phishing par SMS: Guide Pratique

 

La simulation de phishing par SMS est un outil essentiel pour sensibiliser vos équipes à la menace que représente ce type d’attaque. Cependant, le cadre réglementaire et les évolutions technologiques récentes rendent ces campagnes plus complexes à réaliser. Voici un guide complet pour vous accompagner dans la mise en œuvre de vos simulations de phishing par SMS en France.

Contexte réglementaire et filtrage des SMS

⚠️ Alerte Importante : Évitez toute utilisation de marques ou d’organisations réelles

Depuis 2024, les opérateurs télécoms renforcent leurs filtres anti-fraude pour bloquer automatiquement les SMS contenant des noms de marques connues (ex. : Spotify, Netflix, Amazon, etc.) ou des formulations pouvant laisser croire à une communication légitime de ces entreprises.
La loi française oblige, les opérateurs télécoms en France à mettre en place un système de filtrage des SMS pour protéger les particuliers contre le spam et les tentatives de fraude. https://www.economie.gouv.fr/actualites/numerique-loi-protection-citoyens-entreprises-internet

L’utilisation de marques, logos ou références à des services existants dans vos messages,même à des fins de simulation, peut entraîner :
🚫 le blocage immédiat du SMS par les opérateurs (Orange, SFR, Bouygues, Free) ;
⚙️ une mise en quarantaine de la campagne au niveau du prestataire d’envoi ;
🕓 un allongement des délais de validation auprès de l’AF2M et du service 33700.

Recommandation BlueSecure :
Utilisez toujours des noms génériques et fictifs, sans référence à des marques déposées.
Exemples :
❌ « Votre abonnement Spotify est expiré »
✅ « Votre abonnement MusiStream arrive à expiration »⚠️ Alerte Importante : Évitez toute utilisation de marques ou d’organisations réelles

Cette bonne pratique est désormais indispensable pour garantir la délivrabilité de vos campagnes.

Paramétrage des simulations

Si vos messages ne passent pas le filtrage, voici quelques actions à envisager :

  • Changer l’ID de l’expéditeur : Essayez différents noms d’expéditeur pour contourner les règles de filtrage, tout en restant conforme à la réglementation.
  • Modifier le contenu du message : Certains mots clés associés à la fraude (ex. « cliquez ici », « gagnant », etc.) peuvent entraîner un blocage. Essayez de reformuler le contenu pour éviter les termes qui semblent suspects.
  • Tests unitaires : Dans l’interface de gestion Bluesecure, vous avez la possibilité de tester la délivrabilité en envoyant des SMS d’essai à un numéro spécifique. Utilisez cette fonctionnalité pour ajuster votre paramétrage avant de lancer des campagnes à plus grande échelle.

Limites et Précautions

Le filtrage des SMS est conçu pour la protection des utilisateurs, ce qui complique la tâche pour les simulations. Les opérateurs ne renvoient pas systématiquement d’erreurs si un SMS est bloqué. Il est donc nécessaire de procéder à plusieurs essais et ajustements pour réussir une campagne.

De plus, pour renforcer la sécurité, vous devez désormais lors d’une campagne à grande échelle :

1. Validation de l’ID expéditeur auprès de l’AF2M

L’AF2M (Association Française pour le développement des services et usages multimédias Multi-opérateurs), qui gère notamment le service 33700 de lutte contre les spams SMS, exige une validation préalable de l’ID expéditeur utilisé pour vos campagnes de phishing sms.

  • Choix d’un ID expéditeur générique et personnalisé : Il est possible de choisir un nom personnalisé pour l’expéditeur, à condition de ne pas utiliser des noms de marques ou d’organisations connues. Si vous souhaitez utiliser un nom de marque, vous devrez faire une demande dérogatoire auprès de l’AF2M.
  • Délai de validation : Cette demande doit être soumise à l’AF2M, et le processus de validation peut prendre plusieurs jours. Il est recommandé d’anticiper ces démarches pour éviter des retards dans votre campagne.
2. Déclaration des campagnes au 33700

Avant d’envoyer votre campagne, nous devons la déclarer auprès du 33700 pour éviter tout blocage. Cela inclut :

  • Déclaration de l’ID expéditeur et du contenu de la campagne : Le formulaire de déclaration doit être rempli avec les détails de l’expéditeur et le texte de votre message. Cette étape permet d’identifier vos envois comme non frauduleux et de les distinguer des spams ou tentatives de fraude réelles.
  • Réponse du 33700 : Une fois votre campagne enregistrée, vous recevrez un retour confirmant que votre envoi est autorisé, à condition qu’il respecte les critères définis.
3. Tests techniques préliminaires

Avant de lancer une campagne à grande échelle, il est impératif de réaliser plusieurs tests techniques pour vérifier que vos messages ne seront pas bloqués par les filtres opérateurs.

  • Envoyer des SMS de test : Utilisez l’option « Tests et évaluations » dans l’interface Bluesecure pour envoyer des SMS d’essai. Il est recommandé de tester différentes combinaisons d’ID expéditeur et de contenu pour maximiser la délivrabilité.
  • Ajuster les paramètres : Si les SMS ne passent pas, essayez de modifier l’ID expéditeur ou de reformuler le message, en évitant les mots-clés associés à la fraude (ex. « gagnant », « offre exclusive », etc.). Répétez les tests jusqu’à obtenir une délivrabilité satisfaisante.

Ces étapes sont essentielles pour respecter la réglementation tout en réussissant vos simulations.

Spécificités pour les DOM-TOM

Pour les territoires d’Outre-mer (DOM-TOM), il est à noter que les opérateurs peuvent avoir des politiques de filtrage différentes en raison des infrastructures spécifiques et des conditions légales propres à ces régions. Il est conseillé de prendre en compte ces particularités lors de la configuration des campagnes et de réaliser des tests préliminaires adaptés à chaque territoire.

Suivi et évolution

Chez Bluesecure, nous suivons de près l’évolution des réglementations et des technologies liées au filtrage des SMS pour garantir l’efficacité de notre solution de simulation de phishing. Si vous rencontrez des difficultés malgré les ajustements, n’hésitez pas à nous contacter. Nous serons ravis de vous aider à identifier les causes de blocage et à affiner vos campagnes.