Dans cet article, nous allons analyser le déroulement d’un test de phishing, de sa mise en place au reporting. Nous allons donc évoquer le cadrage, le déploiement technique, l’exécution puis le post-mortem de l’exercice.
Le cadrage : définir le périmètre de la campagne
Des objectifs clairs
Premièrement, le cadrage : quel est l’objectif de la simulation de phishing ? Il est essentiel de définir un objectif bien précis, le meilleur moyen de ne pas y parvenir c’est d’en avoir plusieurs.
Si on cherche à sensibiliser, on joindra à la simulation des contenus théoriques ou des signaux d’alertes pour les entraîner.
En revanche, si on cherche à évaluer le comportement face à une attaque réaliste, les collaborateurs risquent de discuter entre eux. On obtiendra alors une mauvaise représentation de ce qui se passerait en cas d’attaque avec un résultat artificiellement bon.
En général, l’objectif fixé est de déterminer le comportement des collaborateurs face au phishing. C’est ce qu’on appelle le point de vue du hacker chez Arsen.
Un autre objectif peut être d’évaluer un risque spécifique. Par exemple, lorsque vous apprenez l’existence d’une nouvelle menace usurpant l’identité d’un fournisseur et vous souhaitez connaître les réactions de vos collaborateurs vis-à-vis de cette menace.
Il est fréquent que l’on nous présente des collaborateurs trop sûrs d’eux, convaincus qu’ils arriveraient à détecter n’importe quel type d’attaque. Dans ce cas, l’objectif du test de phishing est bien souvent de faire prendre conscience de la difficulté à détecter un email de phishing particulièrement bien réalisé.
Choisir ses cibles
Le deuxième paramètre du cadrage est le choix des cibles. Établir qui on souhaite évaluer pour préparer son test de phishing est une étape cruciale.
Nous vous déconseillons de tester tout votre effectif d’un seul coup même si cela peut paraître pratique et efficace en termes de temps, en situation réelle, un hacker ne procédera que rarement de cette manière.
On notera cependant que le télétravail diminue la communication entre les collaborateurs, ce qui rend ces phishing de masse plus dangereux et donne un peu plus de valeur à ces tests peu subtils.
Un scénario adapté
Une fois qu’on a déterminé l’objectif et les cibles de notre test de phishing, on peut choisir un scénario adapté.
Par exemple, le scénario choisi va correspondre aux outils internes utilisés par les cibles du test et le vocabulaire et le ton employé dans les emails reprendront ceux employés au sein de l’entreprise.
Si on choisit de tester les équipes commerciales avec une tentative de vol d’identifiants du CRM, on reprendra l’identité visuelle du CRM utilisé par l’entreprise.
Prenez en compte la culture et les codes de la communication interne à l’entreprise, la façon dont les collègues s’invitent à des événements. Si vous avez l’habitude de programmer des réunions avec des invitations à la dernière minute, il faut le reproduire dans vos scénarios.
À contrario, si ce n’est pas l’habitude de l’entreprise et que vos réunions ont lieu sur Zoom, une campagne sur le thème d’une invitation Teams envoyée au dernier moment n’a aucun intérêt.
Un bon timing pour une campagne plus difficile
Enfin, nous allons définir l’horaire d’une campagne selon le groupe que l’on souhaite cibler et des limites imposées par votre politique de Qualité de Vie au Travail.
Le droit à la déconnexion est un paramètre important à prendre en compte, certaines entreprises n’ont pas le droit de solliciter leurs employés avant 8h et après 19h par exemple. Il faut donc respecter ces notions dans le choix du timing, même si le hacker n’aura pas ces contraintes, les opérations de test de phishing tombent souvent sous le joug du droit à la déconnexion.
Pour les entreprises qui ont la possibilité de tester leurs collaborateurs après les heures de travail, l’afterwork est un horaire judicieux. En général, les collaborateurs sont moins attentifs, sur leur téléphone portable et ne se sentent plus dans un environnement de travail.
Sur un téléphone portable, détecter un email de phishing est plus complexe car la navigation ne permet pas de prévisualiser les liens ou d’observer les détails des emails ce qui amène à plus de compromissions.
Un autre créneau pertinent est souvent juste avant la pause déjeuner entre 11h30 et 12h30. Les collaborateurs ont une baisse d’énergie et d’attention, ils s’occupent rarement de tâches complexes et sont plus susceptibles de se faire avoir lors de la lecture de leurs mails.
Nous avons écrit un article pour vous aider à choisir vos horaires de campagnes de phishing.
La mise en place technique : configuration du test de phishing
Filtrage : autoriser la simulation de phishing
Une fois que le cadre est fixé, il faut implémenter les différentes étapes techniques qui permettront de mener le test à bien.
Tout d’abord, il est nécessaire de choisir si vous souhaitez être whitelisté ou non selon vos objectifs.
Une fois que vous avez déterminé les adresses emails et les noms de domaine que vous souhaitez utiliser, il faut les autoriser sur votre infrastructure si vous souhaitez éviter que la majorité des emails envoyés se retrouvent en spam.
Vous pouvez également choisir de tester votre infrastructure de filtrage en observant si elle détecte ou non votre simulation de phishing.
Cependant, l’objectif est bien souvent de tester les collaborateurs et leurs comportements. Il est donc préférable dans cette configuration de mettre en place un whitelisting pour que toutes les cibles puissent voir les emails de phishing de façon à tester réellement l’élément humain.
Sachez aussi que les filtres anti-phishing, aussi puissants soient-ils, laissent passer environ 10% des menaces et qu’un hacker motivé trouvera le moyen de contourner ces protections. C’est pourquoi nous recommandons de tester directement le collaborateur en procédant à la mise sur liste blanche.
Configurer l’infrastructure d’attaque
Si vous utilisez Arsen, cette étape est automatique et vous pouvez directement vous rendre à la section “Configuration du scénario”.
Si vous déployez votre propre infrastructure avec par exemple des outils comme GoPhish, King Phisher ou tout autre outil open source, vous allez devoir les configurer.
Il est nécessaire de paramétrer un serveur d’envoi d’email pour lancer votre campagne ainsi que d’autoriser son adresse IP ou un code placé dans l’en-tête de l’email pour l’autoriser auprès de vos filtres anti-phishing.
Créer un scénario réaliste
L’étape du cadrage sert à identifier les caractéristiques de l'email. Il est maintenant temps de les appliquer pour réaliser l’email qui sera envoyé pour tester vos collaborateurs.
Vous pouvez copier un email existant en reprenant celui d’une marque ou d’un service que vous utilisez. Attention à ne pas avoir trop d’appels vers des ressources hébergées sur leurs serveurs, ce qui pourrait bloquer l’affichage ou réduire la délivrabilité de vos messages.
Vous pouvez également faire appel à un service comme Arsen qui fournit des scénarios de phishing pré-conçus et facilement adaptables à vos besoins.
Dans notre cas, nous avons réécrit tous les emails de façon à assurer une compatibilité maximale.
Lancer un test afin de vérifier la configuration
L’avant-dernière étape consiste à lancer un test.
Un test vous permet de vérifier la bonne configuration et la bonne exécution de votre campagne en conditions réelles sur un échantillon limité.
Cela vous évitera de mauvaises surprises comme des équipements de détection qui peuvent créer de faux événements, de faux clics, etc. ce qui fausserait complètement les données de comportement de la campagne et risquerait de compromettre l’objectif de votre test.
Programmer le test de phishing
Une fois que toutes les étapes précédentes ont été mises en place, il est l’heure de programmer votre simulation. Bien que vous puissiez lancer votre campagne manuellement, nous conseillons de la programmer afin d’être sûr des paramètres d’exécution : comme dit précédemment, le choix du timing a une importance cruciale.
Lancer le test de phishing
Une fois que vous avez programmé votre campagne, vient son exécution. Vous pouvez choisir de ne plus vous en occuper jusqu’au reporting, ou effectuer certaines tâches pour que votre test se plie à certaines de vos contraintes.
Prévenir de l’attaque pour un meilleur engagement
En fonction de la politique de l’entreprise et de votre charte informatique, vous pouvez choisir de prévenir ou non vos collaborateurs. Évidemment, s’ils sont au courant, l'attaque sera moins réaliste.
Ce choix dépend grandement de votre objectif initial, si vous souhaitez un entraînement comparable à une véritable attaque et que vous avez le droit de tester sans prévenir, ne les prévenez pas.
L’intérêt de prévenir vos collègues réside principalement dans le fait qu’ils se sentiront également moins pris au piège que lors d’une simulation réaliste.
Un bon compromis est d’envoyer un mail en début d’année annonçant que vous allez effectuer des tests de phishing durant cette dernière. Au bout de plusieurs mois, l’effet d’annonce aura disparu mais vos collaborateurs auront pour autant été prévenus.
Suivre la progression pour détecter un imprévu
Certains outils permettent le suivi en temps réel du déroulement des campagnes.
Sur Arsen, vous avez un écran où tous les événements — clics et compromissions — sont affichés en temps réel. Vous pouvez ainsi vous assurer qu’il n’y a pas de problèmes inattendus.
Le test de configuration effectué précédemment a potentiellement été lancé sur seulement quelques adresses emails avec des règles sécurités particulières. Il est donc intéressant de vérifier si tous les emails ont bien été délivrés et s’il n’y a pas de problèmes particuliers liés au lancement d’une campagne de plus grande envergure.
Vous avez souvent des échéances précises pour présenter les résultats des campagnes, il est donc préférable de ne pas perdre de temps à cause de ces imprévus.
Une durée de collecte qui varie
Une fois les mails de phishing envoyés, nous conseillons à nos clients de collecter les données entre 24 et 72 heures même si certaines campagnes peuvent durer plus longtemps.
La plupart des employés à risque sont en général assez impulsifs dans leur boîte mail, ils vont cliquer et compromettre leurs identifiants rapidement après avoir pris connaissance du mail.
La majorité des compromissions ont lieu lors des premières heures, d’autres arriveront durant les 24 heures. Si l’on souhaite collecter de la donnée sur 72 heures, c’est généralement car certaines personnes ne travaillent pas le jour où la campagne est lancée.
Post-Mortem : l’occasion de transmettre votre analyse
Le post-mortem, c’est l’étape où l’on va récupérer les données pour les interpréter.
L’intérêt est de savoir si la menace est réelle pour l’entreprise, si plus de sensibilisation est nécessaire et si le point de vue du hacker nous satisfait.
Une fois les résultats collectés, il faut les communiquer. Ici, la culture d'entreprise est essentielle. Si vos collaborateurs se sentent victimes des campagnes de sensibilisation et des équipes SSI, ils ne seront pas proactifs et se désengageront de leur entraînement.
Faites en sorte d’instaurer un esprit d’équipe entre les équipes sécurité et les collaborateurs dans la lutte contre le phishing.
Félicitez votre équipe si le taux de signalement est bon et expliquez une nouvelle fois les différents enjeux lorsque le taux de compromission est élevé. L’idée est de mettre un maximum de transparence lors de cette étape.
Attention, lorsque vous communiquez les résultats, n'isolez pas les individus avec de mauvais résultats, cela risque de les froisser et sera contre-productif. Optez plutôt pour des statistiques par groupe, qui noieront le coupable et éviteront toute discrimination.
La dernière étape est de décider les futures actions à la lumière des résultats. Généralement, la mise en place d’une stratégie de sensibilisation complète puis la planification d’autres tests afin de vérifier l’évolution des résultats. Vous pouvez également choisir de faire appel à un intervenant extérieur pour sensibiliser les groupes les plus à risques.
Il est possible que vous soyez amené à revoir la politique de sécurité de l’entreprise si par exemple vous détectez la présence de Shadow IT lors de votre reporting.
Conclusion
En conclusion, le test de phishing est un excellent outil à intégrer dans sa stratégie de sensibilisation.
Certains indicateurs de performance obtenus lors de ces campagnes sont essentiels dans l’évaluation et la protection face aux risques de phishing. Il ne faut cependant pas que vous reposiez votre stratégie uniquement sur ces tests.