Orchestrer des simulations de phishing réalistes n’est qu’une première étape pour améliorer la résilience de votre entreprise. Nous allons donc examiner comment bien entraîner ses collaborateurs à la suite d'une simulation de phishing.
La sensibilisation post-campagne est primordiale dans l’entraînement contre le phishing. C’est à cette étape que vous pouvez former vos collaborateurs, récolter leurs avis et continuellement améliorer votre stratégie pour renforcer votre résilience face aux menaces numériques.
État d’esprit
Chez Arsen, nous insistons beaucoup sur la culture d’entreprise vis-à-vis de la sécurité et la façon d'aborder les exercices pratiques comme les simulations de phishing.
Votre état d’esprit ainsi que celui des collaborateurs est déterminant dans la qualité de leur entraînement. Il influe sur leur engagement dans vos campagnes de sensibilisation et donc sur les résultats.
Les simulations de phishing doivent être perçues non pas comme un moyen de piéger ses collègues, mais plutôt comme la meilleure façon de leur apporter un soutien et de les rendre plus forts dans la lutte contre les cyberattaques. Un des moments idéaux pour établir ou renforcer cet état d’esprit est après une simulation de phishing.
L’effectif au complet doit faire preuve d’esprit d’équipe afin de sécuriser votre entreprise. La confidentialité des données de cette dernière, sa santé financière et sa réputation sont primordiales pour sa pérennité. Il est important que vos collaborateurs voient le lien direct qui existe entre la cybersécurité de l’entreprise et la sécurité de leurs emplois. Celle-ci peut être compromise à la suite des difficultés qu’engendre une cyberattaque.
C’est pourquoi il est nécessaire de sensibiliser à l’impact global que peut avoir une faille humaine. Toute l’équipe peut être impactée et c’est en unissant les forces et en comprenant les divers enjeux que vos collaborateurs seront davantage impliqués.
Prenez le temps d’expliquer les conséquences possibles à la suite de campagnes de phishing afin d’établir un état d’esprit vigilant et attentif à la moindre menace et assurez-vous d’être perçu comme une ressource, une aide dans la lutte contre le phishing et non comme le RSSI “qui piège”.
Post-mortem : débriefer une campagne
Le post mortem est souvent l’occasion de faire une sensibilisation théorique avec un fort engagement. Plus la théorie est temporellement proche de la pratique, plus les collaborateurs auront une expérience pratique à laquelle rapprocher le contenu théorique. Vos collaborateurs sont plus susceptibles de retenir une information pratique juste après s’être fait piéger plutôt que 3 semaines après.
Après une campagne de faux phishing, il est intéressant de communiquer sur les résultats de celle-ci et mettre en place des actions afin de combler les failles repérées. Reprenez les différents scénarios ainsi que les différents contenus présentés au moment de la compromission pour expliquer les indices qui permettent de repérer la tentative de phishing.
Restitution des résultats
La plateforme Arsen permet de visualiser rapidement des données globales qui peuvent servir en restitution écrite ou orale.
Lors de la restitution des résultats, il est important d’anonymiser les résultats afin de ne pas antagoniser certains collaborateurs. Vous pouvez par exemple les regrouper par département, métier ou répartition géographique et communiquer leur score. Cette approche permet de comparer les résultats et possiblement instaurer une saine compétition sans pour autant désigner une personne spécifique.
Personne n’aime être pointé du doigt, c’est une évidence. Optez plutôt pour un renforcement positif : mettez en valeur les bons comportements et non ceux à éviter.
Il peut être intéressant de faire des réunions physiques pour ces post-mortem, notamment avec les personnes ayant eu les comportements les plus dangereux. De vive voix, ces informations seront mieux intégrées par vos collègues que lorsqu’elles sont présentées lors de formations classiques, sans rapport avec une expérience pratique. Le simple fait de répéter et de décortiquer chaque point, permettra à vos collaborateurs de mieux s’en souvenir.
Contenus de sensibilisation
Tester vos collaborateurs n’est pas suffisant : il faut également leur apporter les réponses aux problèmes que l’on soulève. Vous devez mettre à leur disposition les clés et les outils pour mieux se défendre en cas d’attaque. Les conseiller et les aiguiller est essentiel dans une formation contre le phishing. Cela renforcera l’esprit d’équipe et votre perception en tant que ressource.
Vous pouvez organiser des ateliers avec des experts externes à l’entreprise afin de développer une meilleure vigilance pour la suite. Faire appel à des intervenants extérieurs permet de rompre la routine du RSSI qui ne cesse de crier au loup ou simplement d’apporter le même message d’une façon différente.
Mettez en place des pages ou contenus permettant d’améliorer les points faibles que vous avez pu repérer lors des campagnes. Ainsi, vous améliorerez votre stratégie de sensibilisation au fil des campagnes.
Rester à l’écoute
Vous devez également rester ouvert aux différentes questions et remarques. Apprendre à écouter ses collègues est un aspect majeur de la pédagogie.
D’une part, ils sauront apprécier votre oreille et cela renforcera l'esprit d’équipe. Il est possible que certains scénarios dérangent vos collaborateurs ou qu’ils ne se sentent pas à l’aise dans cet exercice. Les écouter vous permettra d’identifier des points d’amélioration dans votre communication et vos simulations.
D’autre part, les retours de vos collaborateurs vous permettent une meilleure compréhension de leur façon d’appréhender la lutte contre le phishing et donc de continuellement améliorer vos exercices de phishing.
Enfin, le dialogue instauré permet d’expliquer à vos collaborateurs les conséquences potentielles du phishing et d’appuyer plus précisément sur des points qui peuvent manquer de clarté pour certains.
Ces échanges seront précieux dans votre analyse des différents résultats. Vous comprendrez mieux pourquoi certaines personnes échouent aux tests et comment améliorer leur résilience. Vous pourrez ainsi adapter les scénarios et les contenus de sensibilisation pour renforcer votre résilience.
Sensibilisation au sein de la simulation
Nos pages de sensibilisations peuvent être directement insérées dans les campagnes de simulation de phishing pour une sensibilisation just-in-time.
Un angle de sensibilisation encore trop peu exploité est la sensibilisation immédiate après une action compromettante des collaborateurs. Cette méthode permet de former vos collaborateurs alors qu’ils ont encore en tête les erreurs qu’ils viennent d’effectuer facilitant ainsi leur apprentissage.
C’est pourquoi nous vous conseillons de rediriger les collaborateurs qui se font piéger vers des contenus de sensibilisation au moment même où ceux-ci effectuent une action potentiellement dangereuse.
Cette option est disponible dans notre plateforme d'entraînement contre le phishing et nous vous conseillons de l’utiliser dans la majorité de vos entraînements contre le phishing.
Lors de vos débriefings, développez les informations que vous transmettez lors de ces contenus. Reprenez les différents scénarios ainsi que les différents contenus présentés au moment de la compromission. Le simple fait de répéter et de décortiquer chaque point, permettra à vos collaborateurs de mieux s’en souvenir et de développer leurs réflexes.
Conclusion
Vous devez établir un état d’esprit et une culture de la sécurité numérique dans votre entreprise.
À la suite d’une simulation de phishing, il est important d’organiser un débriefing de la campagne pour profiter de l’expérience qu’ils auront vécu afin de bénéficier d’un meilleur engagement dans vos contenus de sensibilisation.
Il est intéressant de profiter de ces post-mortem pour instaurer des sessions de questions-réponses et entamer un dialogue afin d’obtenir le ressenti des individus testés et affiner votre stratégie de sensibilisation.