Lorsque vous souhaitez tester la résilience de votre entreprise aux attaques par phishing, vous devez choisir certains paramètres comme vos cibles, le type de campagne ou le scénario.
Un paramètre rarement évoqué mais qui influe fortement sur le niveau de compromission est l'horaire de vos simulations de phishing.
L’objectif de cet article est de vous aider à choisir les meilleurs horaires pour vos exercices de phishing.
L’importance du timing
Arsen permet de programmer ses campagnes de phishing aux horaires les plus propices
L’heure à laquelle vous envoyez votre campagne de phishing joue sur l'attention des collaborateurs et donc influe sur les résultats. Bien choisir ses horaires pour ses simulations est donc un élément important dans leurs réalisations.
Il est également important de varier les créneaux de vos simulations de phishing afin d’éviter que vos collaborateurs ne les détectent car vous les testez régulièrement à la même heure. L’effet de surprise est un facteur important dans la réussite d’une simulation de phishing. Elle permet d’obtenir des résultats plus proches d’une vraie attaque.
D’un point de vue opérationnel, le niveau de concentration de vos collaborateurs évolue au cours de la journée. En fonction de l’heure à laquelle vous effectuez votre exercice de phishing, vous obtiendrez donc des résultats légèrement différents.
D’un point de vue légal, vous devez — dans la majorité des cas — respecter le droit à la déconnexion de vos collègues, ce qui peut vous brider dans certains cas. Explorons plus en détail.
Baisse de vigilance
Lors de certains horaires, vous pouvez observer une baisse de vigilance de la part de vos collaborateurs.
La fin de journée ou de semaine est une période où vos collègues relâchent plus facilement leur attention et ont tendance à être plus vulnérables au phishing. Cette tendance se retrouve également autour des pauses déjeuners, la faim ou la digestion jouent sur le niveau de concentration.
Les horaires en dehors des heures de travail s'accompagnent également d'une baisse de vigilance. Ils ne sont plus dans le cadre professionnel mais personnel et se sentent donc menacés personnellement. Il est très probable que vos collaborateurs soient beaucoup moins vigilants en dehors des heures ouvrées. Si ceux-ci regardent leurs emails dans leur environnement personnel, ils seront plus enclins à être distraits par leur environnement (télé allumée, enfants, etc.) et donc d’effectuer des actions compromettantes.
Un hacker ne se gênera pas pour exploiter ces baisses de vigilance. Il est intéressant d’effectuer des simulations sur ces plages horaires afin d’obtenir des données pratiques sur la résilience de votre entreprise.
Droit à la déconnexion
L'application Arsen permet de définir des contraintes de temps pour respecter le droit à la déconnection
De nombreuses entreprises n’ont pas le droit de solliciter leurs collaborateurs en dehors des heures travaillées afin de respecter le droit à la déconnexion. Si c’est votre cas, il est donc très difficile de réaliser des campagnes en dehors des heures ouvrées.
Les hackers, eux, n'ont pas de contraintes et n'hésitent pas à attaquer vos collaborateurs en dehors de leurs heures de travail.
Il peut être intéressant d’envisager une simulation de phishing sur ces horaires afin de la rendre la plus réaliste possible. Avant de programmer une telle opération il vous faudra consulter — et donc mettre dans la confidence — votre service RH afin d’être sûr que vous n’enfreignez pas la politique de votre entreprise.
Exemples d'horaires pour les simulations de phishing
Voici quelques exemples d’horaires pour vous inspirer lors de vos futures simulations de phishing. Ce sont généralement les horaires que choisissent nos clients lorsqu’ils effectuent leurs simulations.
11h30 - 12h30 : avant la pause déjeuner
On observe une baisse de vigilance avant la pause déjeuner : la pause arrive, la faim se fait sentir et il ne reste pas suffisamment de temps avant la pause pour se lancer dans une longue tâche prenante. Il y a donc une certaine oisiveté au moment de regarder ses mails avant la pause déjeuner.
17h30-18h30 : la fin de journée
Utilisez à votre avantage la vérification d'emails juste avant de quitter le bureau : vos collaborateurs ont généralement une faible vigilance.
Vos collaborateurs ressentent la fatigue de la fin de journée et peuvent avoir tendance à faire l’impasse sur les règles de sécurité lors de la dernière ouverture de leur boîte de réception.
Dans cette configuration, l’email doit inciter à l’urgence, vos collaborateurs ne doivent pas l'ignorer jusqu’au lendemain. La victime doit avoir l’impression qu’il faut répondre ou agir le plus rapidement possible. Le principe d’urgence est très souvent exploité pour court-circuiter les bonnes pratiques de sécurité chez les collaborateurs.
Afterwork : 19h-20h
Ah, l’afterwork ! Un de nos créneaux préférés chez Arsen (pour mener des campagnes de phishing).
Il peut être intéressant de programmer vos campagnes lorsqu’il y a un relâchement d’attention et moins de collègues disponibles au bureau pour leur demander conseil lors de la réception du mail. Ces attaques vous permettent de connaître le comportement d’un individu lorsqu’il se retrouve seul face à la menace.
Conclusion
Si vous souhaitez choisir un timing où vos collaborateurs seront plus vulnérables afin de se rapprocher des attaques “réelles”, nous vous conseillons de programmer vos campagnes de phishing aux horaires ci-dessus. Vous obtiendrez un taux de clics plus élevé, des résultats plus exploitables et une vision plus réaliste de votre vulnérabilité au phishing.
