Lorsqu’une entreprise s’équipe d'une nouvelle solution de simulation de phishing, vient souvent la question : “À quelle fréquence dois-je effectuer des simulations de phishing ?”
La fréquence de simulation de phishing est un paramètre essentiel dans la lutte contre le phishing. Cependant, certaines entreprises ne la définissent pas de manière stratégique.
Effectuer une simulation annuelle n’est pas le choix le plus judicieux. Néanmoins, tester des collaborateurs tous les jours aura probablement un impact négatif sur leur formation.
Voyons donc ensemble comment définir la fréquence idéale à laquelle mener vos simulations de phishing.
Trop peu de simulations n’entraîne pas correctement votre effectif
Une fréquence de simulation trop faible amène plusieurs problèmes dans la lutte contre le phishing.
Premièrement, les nouveaux arrivants ne sont pas nécessairement entraînés suffisamment rapidement après leur prise de poste et peuvent représenter une vulnérabilité pour votre société.
Vos nouveaux collaborateurs ne connaissent pas vos procédures de sécurité et n’ont pas été formés par vos précédentes campagnes. Ils sont donc bien plus propices à effectuer une action compromettante.
Gardez en tête qu’après chaque période de recrutement, vous devez tester les nouveaux arrivants afin de connaître leur niveau pratique face au phishing. Il est important d’évaluer leur vigilance face à cette menace pour identifier si une nouvelle recrue nécessite une formation approfondie.
De plus, si vous n’effectuez pas assez de tests, vos collaborateurs entraînés connaîtront une baisse de vigilance.
En effet, sans récurrence, ils oublieront les bons réflexes à cause du manque d’entraînements.
La courbe d’Ebbinghaus ou courbe de l’oubli, présente l’intérêt de rappels fréquents dans un processus de mémorisation
L’objectif est donc de créer des automatismes durables. La fréquence de vos simulations doit être suffisante pour favoriser la mémorisation et l’application des réflexes nécessaires à la lutte contre le phishing.
Enfin, moins vous testez vos collaborateurs, plus le processus même de déploiement du test peut paraître complexe. En effet, sélectionner la date, l'heure, créer le scénario, le contextualiser et préparer la communication attenante à la campagne sont des tâches simples mais qui peuvent paraître très consommatrices de ressources si on n'a pas l'habitude de le faire régulièrement. Une difficulté qui vous incitera malgré vous à réduire encore la fréquence des exercices de faux-phishing.
En utilisant davantage votre solution d’entraînement contre le phishing, vous maîtriserez de mieux en mieux vos outils. Le déploiement de campagnes sera plus simple et vous fera gagner en efficacité et en temps.
Par ailleurs, les sociétés qui ne testent leur effectif qu’une seule fois dans l’année lors du Cybermoi/s en octobre se retrouvent potentiellement confrontées à des modifications du paysage des menaces d’une année sur l’autre.
Prenons l’exemple de l’épidémie de Covid 19 : l’univers du numérique - et donc du phishing - a subi un certain nombre de changements entre 2020 et 2021. Les attaques de phishing d’il y a deux ans sont différentes de celles d’aujourd’hui.
En testant régulièrement votre effectif, vous actualisez le contexte et les scénarios de phishing auxquels il est confronté et lui assurez un meilleur entraînement.
Trop de simulations risque de réduire l’efficacité de votre sensibilisation
Plus on effectue de simulations, plus on entraîne ses collaborateurs à adopter les bons réflexes. Pour autant, il ne faut pas en abuser.
Premièrement, le coût en ressource : de nombreuses requêtes sont envoyées au support IT lors des campagnes. Avec l’augmentation du télétravail, de l’utilisation des VPNs ainsi que des visioconférences, les services IT ont généralement plus de charge de travail qu’auparavant. En fonction de vos procédures de signalement, il est possible que trop de simulations inondent votre service informatique de tickets.
Chez Arsen, le plugin de signalement permet de ne pas solliciter le service IT pour les campagnes de simulation de phishing.
Deuxièmement, vos collaborateurs peuvent développer une certaine fatigue morale à force d’enchaîner les tests de phishing. Cette dernière peut entraîner un désengagement et un désintérêt de la part du collaborateur. Le risque est qu’au premier contact avec une menace réelle de phishing, ils l’identifient comme un énième test et ne prennent pas le temps de le signaler ou de prendre les précautions nécessaires. N’essayez donc pas de solliciter toujours les mêmes collègues dans l’objectif de mieux les former, vous obtiendrez potentiellement l’effet inverse.
Enfin, il est nécessaire d’innover constamment sur les tests et scénarios pour diversifier la formation de votre effectif. Entraîner trop souvent sur les mêmes types de scénarios peut créer une surspécialisation dans la détection des menaces et donc une vulnérabilité sur d’autres scénarios. Une fréquence trop élevée vous amènera irrémédiablement à réutiliser des scénarios très similaires et risque donc d’introduire cette surspécialisation.
Les hackers n’hésitent pas à jouer sur plusieurs leviers psychologiques ou scénarios pour piéger leurs victimes. En diversifiant ces derniers dans vos tests, vous créez une polyvalence dans leur formation et augmentez leur résilience dans diverses situations.
Notre catalogue de scénarios de phishing permet de diversifier vos simulations de phishing en vous proposant différentes options pour tester vos effectifs
La fréquence idéale pour vos simulations de phishing
La fréquence idéale pour vos exercices de phishing dépend du niveau de sensibilité que vous souhaitez et du niveau de pression que subit votre entreprise. Si votre entreprise est fortement exposée au phishing, il est préférable d’entraîner vos collaborateurs plus régulièrement.
À la lumière des éléments évoqués ci-dessus, la fréquence optimale peut aller d’un test de phishing par mois à un test par semaine. N’oubliez pas de varier les groupes que vous souhaitez tester, il ne faut pas toujours entraîner les mêmes collaborateurs. De plus, vous aurez la possibilité de personnaliser les exercices en fonction de vos cibles. Choisissez des scénarios de phishing plus réalistes selon leurs responsabilités au sein de votre entreprise par exemple.
Conclusion
Pour conclure, afin d’avoir un apprentissage optimal, veillez à ne pas trop effectuer de tests sans non plus les négliger. L'idéal est de tester le même collaborateur toutes les 4 à 6 semaines. Néanmoins, une société fortement exposée au phishing pourra augmenter la fréquence jusqu’à une fois par semaine pour les collaborateurs à risque. N'oubliez pas de varier les contextes de vos simulations ainsi que les groupes que vous souhaitez tester.
En adoptant une bonne fréquence de simulation vos collaborateurs auront plus de facilité à comprendre et retenir les bonnes pratiques en termes de phishing.