Comment lancer une simulation de phishing pour mieux protéger son entreprise ?
Découvrez comment bien paramétrer une campagne en choisissant de façon pertinente différents paramètres.
Découvrez comment bien paramétrer une campagne en choisissant de façon pertinente différents paramètres.
Sommaire
I) Choisir son type de scénario
1. La simulation d’évaluation : connaître la réaction du collaborateur
2. La sensibilisation intégrée à la simulation : la meilleure façon de faire progresser
II) Choisir les cibles de la simulation
III) Choisir un scénario pertinent
1. Un scénario adapté aux cibles pour un entraînement cohérent
2. La prise en compte de la difficulté du scénario
IV) Programmer la date et l’heure de la campagne de phishing
Chez Arsen, nous proposons deux types de simulations de phishing :la simulation d’évaluation qui a pour but de ne pas être révélée au collaborateur et celle de sensibilisation pour entraîner le collaborateur au moment où celui-ci effectue une action potentiellement dangereuse.
L’attaque silencieuse a pour but d’évaluer les réactions des collaborateurs face au phishing, vecteur présent dans 91% des cyberattaques.
En choisissant ce type de simulation, votre test sera plus proche du réel avec une redirection vers un site ayant une longue authentification. Lorsqu’il sera redirigé, son ancienne session sera toujours ouverte, il aura donc l’impression de s’être connecté avec une procédure habituelle : il entre son login, son mot de passe, clique sur “se connecter” et.. se retrouve connecté, donc ne signale rien.
Cependant, il ne faut pas trop utiliser ce type de simulation : vos collaborateurs risquent de mal le prendre et de se sentir davantage piégés que soutenus, ce qui risque d’entraîner une perte d’engagement.
Nous vous conseillons de réaliser une simulation d’évaluation tous les trimestres au plus pour évaluer l’amélioration de la résilience de l’entreprise face au phishing.
La simulation de sensibilisation a pour objectif d’entraîner les employés d’une entreprise à mieux détecter les emails de phishing.
Sur la plateforme Arsen, le mail est rejoué en indiquant les différents indices que le collaborateur aurait dû détecter.
En utilisant cette méthode, le collaborateur rencontre moins de friction, il n’a pas besoin d’aller se connecter sur un e-learning et est formé au moment où il est le plus réceptif, en un minimum de temps et avec un contenu contextualisé.
Néanmoins, l’inconvénient majeur reste la possibilité que les collègues se passent le mot faussant ainsi les résultats de l’exercice, ne permettant pas une évaluation précise du niveau de risque et de sensibilité des collaborateurs.
Il est recommandé de ne pas cibler tout l’effectif d’une entreprise avec un même scénario de phishing : vous risquez là aussi d’avoir des employés qui se préviennent mutuellement qu’une simulation est en cours s’ils reçoivent tous le même mail au même moment.
Les hackers ne procèdent d’ailleurs pas de cette manière et préfèrent rester discrets.
Vous pouvez choisir de cibler un groupe ou un service spécifique, en sélectionnant par exemple les employés les plus à risque ou bien ceux qui ont effectué peu de simulations.
Hors cas exceptionnels, il ne faut pas cibler un seul individu dans vos campagnes afin de ne pas isoler un collaborateur lors de la restitution des résultats.
Lorsque vous choisissez un scénario de phishing pour votre simulation, il est primordial qu’il soit adapté à la cible que vous avez sélectionné.
Il est inutile d’envoyer un scénario usurpant l’identité d’une banque pour des frais non payés au service marketing. En revanche, il est bien plus judicieux d’envoyer à ce service une alerte de connexion inhabituelle sur le compte Facebook ou Twitter de l’entreprise.
Arsen prend en compte la difficulté des scénarios dans le calcul du score de sécurité de l’employé. Si un collaborateur échoue lors d'une campagne très difficile, il sera moins pénalisé que si elle était très facile à détecter, et inversement.
Il est également important de varier les niveaux de difficultés des tests que vous effectuez : si un employé ne reçoit dans sa boîte que des exercices complexes, il risque de se désengager et ne plus progresser.
À l’inverse, si vous programmez uniquement des scénarios très simples, vos collaborateurs risquent de considérer qu’un mail de phishing est simple à détecter et peuvent ne pas détecter un mail de phishing plus avancé.
Il ne vous reste plus qu'à choisir l’heure et la date, une étape cruciale pour varier les difficultés et pour surprendre les employés.
Nous avons d’ailleurs écrit un article sur les meilleurs horaires pour une simulation de phishing afin de vous aider à choisir le meilleur créneau pour votre entraînement.
Votre entreprise est peut être soumise à des règles de droit à la déconnexion ou de qualité de vie au travail, chose que les hackers se feront une joie d’ignorer mais que nous vous permettons de respecter sur Arsen.
Nous vous conseillons de varier les horaires et les jours de vos simulations de phishing. Si vous programmez votre test tous les premiers lundis du mois à 12h, vos collaborateurs risquent de comprendre rapidement le schéma ce qui faussera les résultats.
Dans cet article, nous avons vu les étapes clés pour mettre en place une campagne de phishing, que ce soit pour évaluer ou pour sensibiliser vos collaborateurs.
Nous avons vu comment paramétrer une campagne adaptée à vos objectifs et vos groupes de collaborateurs afin d’améliorer l’efficacité de vos opérations de sensibilisation.
Que ce soit pour évaluer ou former, nous vous permettons un maximum de flexibilité pour reproduire fidèlement des attaques même avancées et vous protéger au mieux du risque de manipulation de vos collaborateurs pour mener des cyberattaques.