Il existe de nombreuses façons d'améliorer votre défense contre les attaques de phishing.
Cela fait des années que le phishing est et reste le principal vecteur d'accès initial dans les cyberattaques réussies.
Il existe de nombreux mécanismes de défense que vous pouvez déployer pour protéger votre entreprise contre le phishing, l'un d'entre eux étant l'utilisation de simulations de phishing.
Les simulations de phishing, si elles sont correctement réalisées, aideront à renforcer la couche humaine de votre entreprise, et c'est ce que nous allons voir dans cet article.
Configuration initiale
Cela semble évident, mais avant de faire quoi que ce soit avec votre plateforme de simulation de phishing, vous devez vous assurer qu'elle est correctement configurée.
- Livraison : assurez-vous de pouvoir envoyer des emails de phishing factices à votre infrastructure sans être marqué, mis en quarantaine ou recevoir des clics factices des systèmes de sécurité.
- Synchronisation des employés : que ce soit par import CSV ou synchronisation AD, assurez-vous d'avoir tous vos employés synchronisés sur votre plateforme de simulation de phishing.
- Bouton de signalement : vous voulez pouvoir suivre qui signale un email comme suspect. C'est un bon comportement que vous souhaitez suivre et encourager.
Évaluation initiale
Une fois que votre plateforme de simulation de phishing est configurée, si vous n'avez jamais effectué d'audit de phishing auparavant, vous devez évaluer la situation.
Vous devez exécuter une simulation de phishing qui servira d'évaluation initiale.
Ces simulations auront un seul objectif : observer le comportement de vos employés face à une attaque très réaliste.
Vous voudrez une exécution furtive, aussi proche que possible des attaques actuelles, sans éléments de formation intégrés pour éviter que les employés ne se parlent entre eux et ne créent un score artificiellement élevé.
Voici donc quelques paramètres que vous devriez suivre pour cette première campagne :
- Utilisez des scénarios de phishing populaires (réinitialisation de mot de passe, partage de documents, alertes de sécurité, fausses factures, etc.). Ne commencez pas par des scénarios très spécifiques et ciblés, mais utilisez plusieurs scénarios pour cette campagne car vous ne voulez pas que tout le monde reçoive les mêmes scénarios.
- Utilisez des scénarios de haute difficulté : n'utilisez pas de scénarios de formation spécifiques avec des fautes de frappe ou des indicateurs évidents, restez aussi réaliste que possible.
- Échelonnez la campagne dans le temps pour rester discret, et si possible, utilisez un planificateur avancé pour cibler les personnes aléatoirement en fin de journée de travail.
- Ciblez tout le monde : à ce stade, nous voulons une évaluation de l'ensemble de l'entreprise ; les groupes seront utiles dans la phase suivante.
Cela vous fournira des données pour mener les simulations qui vous aideront réellement à améliorer votre posture de sécurité : les simulations de formation au phishing.
Améliorer les comportements avec des simulations de phishing
Maintenant que vous avez réalisé une simulation réaliste et que vous comprenez mieux la réaction de vos employés, vous pouvez commencer à créer des simulations de phishing qui feront bouger les choses.
Pour cela, vous devez combiner plusieurs facteurs.
Groupez vos employés
Il existe deux propriétés importantes à utiliser pour regrouper vos employés :
- Leur niveau, basé sur leurs performances lors de votre évaluation initiale.
- Leur contexte : en fonction de leur titre de poste, de leur position et de leur exposition, vous les formerez différemment.
En fonction de votre solution de simulation de phishing et des paramètres de ciblage, vous devrez peut-être créer des listes ou des campagnes distinctes.
Chez Arsen, nous utilisons des groupes dynamiques qui filtrent les personnes en fonction de leurs propriétés : groupes AD, niveau, nombre de simulations auxquelles elles ont participé...
Cela permet un meilleur ciblage en tenant compte des points suivants.
La bonne fréquence
Trop de simulations de phishing peuvent décourager les gens d'apprendre et avoir un effet inverse.
Le contenu pourrait être ignoré ou les gens pourraient même cliquer volontairement en signe de protestation.
D'un autre côté, si vous ne réalisez pas assez de simulations, les gens baisseront leur vigilance au fil du temps, et vous n'en tirerez aucun bénéfice.
Chez Arsen, notre plateforme cible plus fréquemment les personnes ayant un score de sécurité plus bas afin qu'elles puissent développer des réflexes, et celles ayant un score plus élevé moins fréquemment pour simplement les maintenir.
Le bon niveau de difficulté
Tous les phishing ne se valent pas. Vous devez tenir compte du niveau de difficulté.
Ainsi, pour vraiment améliorer les comportements, vous devez créer une difficulté progressive et utiliser vos groupes pour les cibler en conséquence.
Notre plateforme cible les personnes avec un score de sécurité bas avec une difficulté moindre, afin qu'elles puissent détecter des indices tels qu'un nom de domaine évident, une faute de frappe ou un design défectueux, et progresser vers des scénarios plus complexes.
Les employés avec un score de sécurité élevé seront ciblés par des attaques beaucoup plus complexes et réalistes, pour les maintenir en alerte.
Le bon contexte et la diversité des scénarios
Si vous formez vos employés avec les mêmes scénarios encore et encore, vous créerez une spécialisation : ils apprendront à détecter vos simulations, pas les principes généraux du phishing et de l'ingénierie sociale.
C'est pourquoi vous avez besoin de diversité et pourquoi avoir différents scénarios est essentiel : vous pouvez utiliser divers scénarios pour le même effet.
C'est là que le regroupement par titre de poste ou par unité commerciale peut être utile : vos commerciaux seront plus susceptibles de cliquer sur une notification CRM mais ignoreront probablement un CV en PDF, alors que vos responsables RH feront l'inverse.
Chez Arsen, nous utilisons non seulement cela, mais aussi une bonne dose d'IA pour aider à fournir une diversité plus ciblée à nos simulations.
La plateforme peut même créer des conversations uniques avec chacun de vos employés, essayant de les inciter à cliquer sur un lien de phishing.
Retour d'information instantané
Parce qu'apprendre que vous avez été piégé, même si c'est un faux phishing dans le cadre d'une simulation, crée une forte réaction émotionnelle.
Cette réaction peut être exploitée pour s'assurer que les gens retiennent mieux les informations.
C'est pourquoi c'est le meilleur moment pour leur montrer une page d'apprentissage en ligne très courte.
Chez Arsen, nous rejouons l'email envoyé et mettons en évidence les indices qui auraient dû être détectés par l'employé, afin qu'ils puissent mieux les repérer lors de la prochaine campagne.
Tout automatiser
Une seule campagne de phishing ne changera rien. Vous avez besoin de campagnes de formation récurrentes, adaptées et diversifiées pour encourager de nouveaux comportements chez vos employés.
Maintenir une fréquence d'une campagne par mois n'est pas facile, mais si vous avez la bonne plateforme, cela peut être fait en quelques clics.
Conclusion
Dans cet article, je vous ai montré les étapes nécessaires pour utiliser la simulation de phishing comme un outil de protection, et non simplement un outil d'audit ou de conformité.
Il y a beaucoup d'autres aspects qui peuvent être mis en place pour protéger vos entreprises : vérification des identifiants divulgués, entropie des mots de passe ou même détection des points d'accès inconnus.
Nous faisons tout cela également, mais cela sera expliqué dans un autre article.