Bien mener une simulation de phishing

Thomas Le Coz

Thomas Le Coz

Phishing

Pourquoi mener un exercice de faux phishing ?

Le phishing est le point d’entrée de 91% des attaques*. L’objectif des simulations de phishing est de prévenir le piratage de votre entreprise afin d’éviter les pertes financières, les pertes d’informations sensibles ainsi que l’endommagement de votre image qui en découlent. Vos systèmes d’information et votre production peuvent être lourdement impactés par ces menaces. C’est pourquoi il est important de se préparer face au phishing à travers des entraînements réalistes.

Selon Euler Hermes, il est fréquent lors de ces simulations d’obtenir un taux de clic supérieur à 20%. Un chiffre élevé quand on sait les conséquences que peut engendrer un seul clic. Obtenir 10/10 à un quiz est bien plus simple que d’arriver à identifier un mail de phishing en situation réelle.

Les mails de phishing ne sont pas nécessairement synonymes de fautes d’orthographe et d’arnaques évidentes. Certaines informations récupérables publiquement permettent aux hackers de vous atteindre avec des mails personnalisés extrêmement plausibles et réalistes.

L’élément humain

Dans les simulations de phishing, la mise en pratique opère dans un contexte émotionnel différent. Une attaque de phishing s’appuie sur le social engineering où le hacker utilise divers leviers psychologiques pour compromettre la victime.

La curiosité, la fierté ou l’envie d’aider peuvent par exemple baisser la vigilance de la victime, la rendant plus vulnérable.

C’est parce que le hacker utilise ces leviers de manipulation qu’il existe une différence criante entre les scores théoriques obtenus lors de quiz et les résultats de simulation.

Le quiz et les opérations de sensibilisation théoriques ne reproduisent pas l’état émotionnel dans lequel se trouve la victime au moment de la compromission. Il est donc nécessaire d'effectuer des simulations réalistes, beaucoup plus proches de la réalité à laquelle sont confrontées les victimes de phishing.

Les différents types de simulations de phishing

Chez Arsen, nous avons l’habitude de voir deux types de simulations de phishing différents.

Vous pouvez opter pour une simulation que l'on qualifie d’attaque silencieuse ou bien une campagne de sensibilisation en informant vos collaborateurs de leur erreur immédiatement après l’avoir commise.

L’attaque silencieuse

L’attaque silencieuse permet de connaître le comportement de vos collaborateurs en situation réelle en se rapprochant davantage d'une attaque type d’un hacker.

Données collectées Credential Harvesting

Exemple de données qu'un hacker peut collecter lors d'une attaque de credential harvesting

Si vous utilisez Arsen, vous obtenez tout comme le hacker, un extrait des données saisies (hors mot de passe) ainsi que des informations sur l’équipement utilisé (mobile, ordinateur, VPN, …).

Une fois l’utilisateur compromis, il est redirigé vers des pages légitimes, d’erreur ou sur des services sur lesquels l’utilisateur est déjà authentifié afin de réduire le niveau de suspicion post-compromission.

Imitation de page de connexion google

Une page ressemblant fortement à la page de connexion Google, qui redirige ensuite vers Gmail une fois les identifiants envoyés.

Par exemple, la cible saisie ses identifiants de connexion puis est redirigée sur Gmail où elle est probablement déjà identifiée. Si la session utilisateur reste ouverte, elle aura l’impression de s’être connectée comme elle le ferait habituellement.

La campagne de sensibilisation

Page de sensibilisation

Page de sensibilisation chargée après une saisie des identifiants, associant des rappels textuels et une vidéo de micro-learning.

Lors d’une campagne de sensibilisation, au moment où le collaborateur effectue une erreur, il est redirigé vers une page de sensibilisation. Cette dernière lui permet par la suite d’adopter de meilleurs réflexes au moment le plus opportun. Grâce à cette option, vous obtenez une sensibilisation instantanée particulièrement engageante.

Il est probable que des collaborateurs préviennent leurs collègues avant que ceux-ci prennent connaissance du test. Il suffit d’une personne qui lance l’alerte dans l’équipe pour renforcer leur score de sécurité et biaiser votre bilan. C’est pourquoi nous recommandons d’alterner les deux types de simulation de phishing.

Définir les objectifs d'une simulation de phishing

Il est important de vous fixer des objectifs concrets pour évaluer votre progression dans le temps. L’objectif principal des tests de phishing est d’améliorer la capacité de l’entreprise à se défendre face aux menaces.

Pour nous, c’est la capacité des collaborateurs à signaler et alerter les services de réponse à incident : le développement d’un « firewall humain ».

Tableau de bord de la campagne Arsen

Des indicateurs comme le taux de clics ou de signalement permettent de fixer des objectifs mesurables.

Certaines données mesurables peuvent vous aider à définir vos objectifs. Le taux de clic, le nombre d’identifiants collectés ou même le nombre de signalements à votre service sécurité sont des valeurs quantifiables représentant votre niveau de sécurité sur une période.

Nous avons développé un score de sécurité basé sur les données comportementales des personnes testées, permettant de jauger votre amélioration sur la durée. Vous pouvez analyser le score d’un groupe d’individus comme un pôle par exemple, ou choisir de regarder le niveau de sécurité global de votre entreprise et suivre son évolution au fil des campagnes.

Ces simulations vous permettent d’avoir un regard sur le comportement de vos utilisateurs. Bien définir celui que vous souhaitez observer est essentiel. Communiquer un mode opératoire aux collaborateurs est une solution pour leur transmettre une vision idéale en termes de sécurité numérique.

Qu’il s’agisse d’un test ou d’une véritable attaque, vos collaborateurs auront les mêmes réactions. Il est donc primordial de réaliser des tests de qualité se rapprochant le plus possible du réel.

Qu’est-ce qu’une simulation de phishing réussie ?

Une simulation de phishing réussie est une campagne qui permet à vos collaborateurs d’obtenir une prise de conscience des dangers et des réflexes de défense appropriés.

Elle doit réussir à former vos collaborateurs et les engager dans votre stratégie de cyberdéfense. Ces derniers doivent percevoir qu’être autonome et responsable dans la lutte contre le phishing est essentiel pour la sécurité d'entreprise. Chaque collaborateur est un maillon de la chaîne de cybersécurité.

Pour réaliser des campagnes réussies, il est important de les adapter. L’assimilation des dangers et des protocoles de sécurité ne se fait pas à la même vitesse pour chaque individu.

Un bon apprentissage ne se fait pas grâce à une seule campagne de phishing réussie. Il se réalise dans le temps grâce à un accompagnement constant théorique et pratique. Il est intéressant dans ces exercices de demander des feedbacks à vos collaborateurs pour connaître leurs ressentis et leurs avis.

Bien évidemment, une campagne réussie est synonyme d’objectifs remplis. Le taux de clic sur un lien, le nombre d’identifiants collectés ou encore le taux de signalement sont des indicateurs qui peuvent être utilisés pour mesurer la réussite de la simulation.

Vous pouvez utiliser ces indicateurs pour mesurer l'évolution d'une campagne à une autre.

Points importants pour maximiser les résultats

Graphique score de sécurité

Le score de sécurité, basé sur les données comportementales des collaborateurs lors de simulations, évolue dans le temps.

Il existe plusieurs manières de maximiser vos résultats lors de vos tests de phishing, le renforcement positif en fait partie.

Mettre en valeur les « bons élèves » sera plus pédagogique que de pointer du doigt les collaborateurs avec plus de difficultés. En effet, anonymiser les résultats en regroupant par équipe vos employés est une très bonne solution. Cette action réduira la gêne entre individus tout en augmentant la motivation et la saine compétition entre les différents groupes.

Privilégiez les simulations pratiques combinées avec des contenus théoriques afin d’apporter des solutions et méthodes aux collaborateurs qui se retrouvent piégés.

Les simulations silencieuses sont nécessaires pour avoir une vision réaliste de votre niveau de sécurité. Néanmoins, utilisez-les avec parcimonie de façon à apporter avant tout des réponses aux problèmes auxquels vos collaborateurs sont confrontés lors des simulations.

Les erreurs à ne pas commettre lors d'une simulation de phishing

De la même façon qu'il existe des bonnes pratiques qui vous permettent de tirer davantage profit de vos simulations, il existe aussi des erreurs à éviter.

Premièrement, il ne faut pas passer pour l'équipe qui « piège » ses collègues. Il est important d’être perçu comme une aide et une ressource auprès des collaborateurs.

Deuxièmement, ajouter du contenu théorique et pédagogique régulièrement pour apporter un soutien à vos collaborateurs ainsi que de nouveaux outils, de nouvelles façons de détecter et répondre aux attaques.

Placez-vous comme une ressource, un formateur et rappelez régulièrement que vous n’êtes pas dans une optique de chercher des coupables.

Enfin, évitez les scénarios de simulation qui utilisent des prétextes non éthiques ou pouvant amener des conflits internes lors des simulations : notification d'augmentations de salaires, promesses de cadeaux du CE, etc.

Ces scénarios peuvent engendrer une “fausse joie” chez vos collègues. Bien qu’ils puissent être utiles de temps en temps pour augmenter le niveau de difficulté, ils risquent d’impacter votre réputation et donc votre capacité à sensibiliser sur la durée.

Il est primordial de rester dans une approche pédagogique et bienveillante lors de vos entraînements au phishing.

Conclusion

Dans cet article, nous avons pu voir les points importants à retenir pour mener à bien une simulation de phishing afin de mieux préparer votre entreprise.

Les exercices de phishing représentent le seul moyen de tester dans des situations proches de la réalité.

Pensez avant tout à instaurer une culture de test, perçue non pas comme une punition ou un piège mais un entraînement permettant de renforcer la résilience de tout le monde dans l’environnement professionnel comme personnel.

Sensibilisez et testez régulièrement afin de mesurer l’amélioration et déterminer des pistes d’amélioration.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.