Choisir son type de scénario
Chez Arsen, nous proposons deux types de simulations de phishing :la simulation d’évaluation qui a pour but de ne pas être révélée au collaborateur et celle de sensibilisation pour entraîner le collaborateur au moment où celui-ci effectue une action potentiellement dangereuse.
La simulation d'évaluation : connaître la réaction du collaborateur
L’attaque silencieuse a pour but d’évaluer les réactions des collaborateurs face au phishing, vecteur présent dans 91% des cyberattaques.
En choisissant ce type de simulation, votre test sera plus proche du réel avec une redirection vers un site ayant une longue authentification. Lorsqu’il sera redirigé, son ancienne session sera toujours ouverte, il aura donc l’impression de s’être connecté avec une procédure habituelle : il entre son login, son mot de passe, clique sur “se connecter” et.. se retrouve connecté, donc ne signale rien.
Cependant, il ne faut pas trop utiliser ce type de simulation : vos collaborateurs risquent de mal le prendre et de se sentir davantage piégés que soutenus, ce qui risque d’entraîner une perte d’engagement.
Nous vous conseillons de réaliser une simulation d’évaluation tous les trimestres au plus pour évaluer l’amélioration de la résilience de l’entreprise face au phishing.
La sensibilisation intégrée à la simulation : la meilleure façon de faire progresser
La simulation de sensibilisation a pour objectif d’entraîner les employés d’une entreprise à mieux détecter les emails de phishing.
Sur la plateforme Arsen, le mail est rejoué en indiquant les différents indices que le collaborateur aurait dû détecter.
Les campagnes de sensibilisation forment les collaborateurs à repérer les indices d'une attaque de phishing
En utilisant cette méthode, le collaborateur rencontre moins de friction, il n’a pas besoin d’aller se connecter sur un e-learning et est formé au moment où il est le plus réceptif, en un minimum de temps et avec un contenu contextualisé.
Néanmoins, l’inconvénient majeur reste la possibilité que les collègues se passent le mot faussant ainsi les résultats de l’exercice, ne permettant pas une évaluation précise du niveau de risque et de sensibilité des collaborateurs.
Choisir les cibles de la simulation
Il est recommandé de ne pas cibler tout l’effectif d’une entreprise avec un même scénario de phishing : vous risquez là aussi d’avoir des employés qui se préviennent mutuellement qu’une simulation est en cours s’ils reçoivent tous le même mail au même moment.
Les hackers ne procèdent d’ailleurs pas de cette manière et préfèrent rester discrets.
Vous pouvez choisir de cibler un groupe ou un service spécifique, en sélectionnant par exemple les employés les plus à risque ou bien ceux qui ont effectué peu de simulations.
Hors cas exceptionnels, il ne faut pas cibler un seul individu dans vos campagnes afin de ne pas isoler un collaborateur lors de la restitution des résultats.
Choisir un scénario pertinent
Un scénario adapté aux cibles pour un entraînement cohérent
Lorsque vous choisissez un scénario de phishing pour votre simulation, il est primordial qu’il soit adapté à la cible que vous avez sélectionné.
Il est inutile d’envoyer un scénario usurpant l’identité d’une banque pour des frais non payés au service marketing. En revanche, il est bien plus judicieux d’envoyer à ce service une alerte de connexion inhabituelle sur le compte Facebook ou Twitter de l’entreprise.
La prise en compte de la difficulté du scénario
Arsen prend en compte la difficulté des scénarios dans le calcul du score de sécurité de l’employé. Si un collaborateur échoue lors d'une campagne très difficile, il sera moins pénalisé que si elle était très facile à détecter, et inversement.
Il est également important de varier les niveaux de difficultés des tests que vous effectuez : si un employé ne reçoit dans sa boîte que des exercices complexes, il risque de se désengager et ne plus progresser.
À l’inverse, si vous programmez uniquement des scénarios très simples, vos collaborateurs risquent de considérer qu’un mail de phishing est simple à détecter et peuvent ne pas détecter un mail de phishing plus avancé.
Programmer la date et l’heure de la campagne de phishing
Il ne vous reste plus qu'à choisir l’heure et la date, une étape cruciale pour varier les difficultés et pour surprendre les employés.
Nous avons d’ailleurs écrit un article sur les meilleurs horaires pour une simulation de phishing afin de vous aider à choisir le meilleur créneau pour votre entraînement.
Votre entreprise est peut être soumise à des règles de droit à la déconnexion ou de qualité de vie au travail, chose que les hackers se feront une joie d’ignorer mais que nous vous permettons de respecter sur Arsen.
Nous vous conseillons de varier les horaires et les jours de vos simulations de phishing. Si vous programmez votre test tous les premiers lundis du mois à 12h, vos collaborateurs risquent de comprendre rapidement le schéma ce qui faussera les résultats.
Conclusion
Dans cet article, nous avons vu les étapes clés pour mettre en place une campagne de phishing, que ce soit pour évaluer ou pour sensibiliser vos collaborateurs.
Nous avons vu comment paramétrer une campagne adaptée à vos objectifs et vos groupes de collaborateurs afin d’améliorer l’efficacité de vos opérations de sensibilisation.
Que ce soit pour évaluer ou former, nous vous permettons un maximum de flexibilité pour reproduire fidèlement des attaques même avancées et vous protéger au mieux du risque de manipulation de vos collaborateurs pour mener des cyberattaques.
