La gestion des campagnes en équipe

Thomas Le Coz

Thomas Le Coz

Phishing

Gérer de nombreuses campagnes de phishing demande du temps. C’est pourquoi un grand nombre de nos clients se partagent les différentes tâches liées à la gestion des tests de phishing ou à la conception des scénarios.

Notre plateforme de sensibilisation vous permet de créer des accès opérateurs ou spectateurs afin de travailler en équipe pour la gestion des campagnes de sensibilisation.

Dans cet article nous allons voir comment et pourquoi déléguer l’administration des simulations.

I) Dans quels cas partager un accès à la plateforme ?

Lorsque vous créez un accès à la plateforme Arsen, vous pouvez choisir entre un compte administrateur ou un accès spectateur.

Bien évidemment, vous pouvez supprimer ou modifier ces accès à tout moment, par exemple en transformant un compte administrateur en un compte spectateur ou inversement.

Vous pouvez également transférer les droits du compte principal (appelé “Owner” sur la plateforme) à un autre administrateur.

L’accès opérateur : prêter main-forte

Les comptes "administrateurs" sont donnés aux opérateurs. Il permet de gérer et programmer les campagnes, mais aussi d’accéder au catalogue des scénarios, aux différents rapports et de personnaliser les scénarios de phishing spécifiques à l’entreprise.

En dehors de la gestion de l’équipe et des différentes invitations d’accès à la plateforme, un compte opérateur aura les mêmes droits que l'utilisateur principal.

Si vous menez une campagne de phishing dans une entreprise avec un large effectif, vous aurez potentiellement besoin d’assistance pour :

  • personnaliser les scénarios en fonction des groupes que vous allez cibler
  • programmer les campagnes pour chaque groupe
  • organiser les données du reporting en un rapport cohérent et actionnable

Grâce à la fonctionnalité d’invitation, vous pouvez également inviter un professionnel de la cybersécurité externe qui pourra vous apporter des idées et méthodes pour tirer au mieux partie de notre application.

Vous pourrez ainsi bénéficier de son expérience et son expertise pour améliorer la pédagogie ou la difficulté de vos campagnes. Outre le transfert de compétence que cela peut occasionner, vous aurez aussi du recul sur les résultats de vos collaborateurs comparé aux résultats que la ressource externe est habituée à voir.

L’accès spectateur : partager les résultats

L’accès spectateur permet au compte de visualiser le tableau de bord, les différents rapports ainsi que différentes données sur les campagnes en cours.

Le score de sécurité de l’entreprise, d’un service, d’un employé et leurs évolutions dans le temps seront alors accessibles.

De plus, un compte spectateur peut observer les informations liées aux campagnes : le taux de compromission, le nombre de clics et de reporting ainsi que toutes autres informations sur le comportement des collaborateurs.

Ces accès vous permettent de partager les données sans pour autant octroyer la possibilité de gérer les simulations.

Certains services comme les ressources humaines peuvent avoir besoin de connaître la progression de l’effectif de l’entreprise dans la lutte contre le phishing afin de corréler les résultats avec les formations théoriques.

Certains membres de la direction ou de la gestion des risques pourront également être intéressés par un accès de type spectateur afin de mieux connaître la capacité de l’entreprise à détecter et lutter contre les attaques de phishing.

II) Comment organiser le travail en équipe pour mieux sensibiliser ?

La première étape est bien évidemment de créer des comptes administrateurs et spectateurs en fonction des permissions souhaitées.

Une fois votre équipe invitée et active dans l’application, vous pouvez tirer profit de leur présence à plusieurs niveaux.

II.1 Intelligence collective

Parce que vous êtes désormais plusieurs à pouvoir paramétrer l’application et avoir pleinement conscience des possibilités qu’offre la plateforme, vous bénéficiez d’intelligence collective.

Les membres de votre équipe vous permettront de générer de nouvelles idées de scénarios, de campagnes et d'entraînements.

Vous pourrez aussi tester et confronter vos idées ensemble afin d’améliorer vos opérations de sensibilisations pilotées par Arsen.

‍II.2 Pédagogie

N’oubliez pas que l’objectif n’est pas de piéger vos collaborateurs mais de les former afin qu’ils détectent et signalent les attaques.

Chaque membre peut vous aider dans la personnalisation des campagnes ainsi que du contenu pédagogique associé.

Confronter vos différentes perspectives permet de concevoir des campagnes de sensibilisation plus efficaces.

II.3 Gestion des campagnes

En fonction de votre configuration, il est possible qu’il y ait des opérations manuelles nécessaires lors des campagnes de sensibilisation.

Par exemple, lors d’un test de phishing, si vous n’avez pas installé notre plugin de signalement, il est possible que vous deviez saisir manuellement les signalements que les collaborateurs vous font.

Ces tâches peuvent être chronophages et la présence d’autres membres dans votre équipe vous permettra de gagner là encore un temps précieux.

II.4 Reporting et débriefing

Arsen génère des rapports vous permettant de mieux piloter votre sensibilisation. Comme tout rapport, son interprétation et sa mise en contexte permettent d’en extraire plus de valeur.

Là encore, c’est un sujet que vous pouvez aborder en équipe afin de bénéficier du concours de tous les membres de l’équipe sécurité, mais aussi des personnes responsables de la formation des collaborateurs, afin d’unifier les efforts et maximiser l’impact de la sensibilisation.

III) Ensemble pour une meilleure formation

Sensibiliser efficacement ses collaborateurs prend du temps. En déléguant une partie des tâches liées aux opérations de sensibilisation, vous gagnerez un temps considérable. De plus, cela permettra un transfert de compétence et une amélioration de la culture de la cybersécurité auprès des autres membres de votre équipe.

Si différents membres du service sécurité sont intégrés au processus, les enjeux liés au phishing seront mieux perçus et les débriefings post-campagne seront également plus riches.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.