Pourquoi mener des simulations de phishing par groupes d'employés ?

Thomas Le Coz

Thomas Le Coz

Phishing

L'objectif de vos campagnes de phishing est de se rapprocher le plus possible des attaques réelles menaçant votre entreprise afin d’améliorer votre résilience face à ces dernières. Certains hackers se concentrent de plus en plus sur la qualité de leurs mails plutôt que la quantité en pratiquant du spear phishing.

Ils créent des scénarios adaptés à leur cible tout en utilisant de l’ingénierie sociale afin de baisser sa vigilance. L’objectif du mail de phishing est de ressembler à tous les autres figurants dans la boîte de réception de la victime afin de n’être pas identifié comme une menace.

En effet, vos collaborateurs ne reçoivent pas les mêmes types de mails. En revanche, certains se ressemblent suffisamment pour segmenter votre effectif. Vous pouvez ainsi créer des groupes dans votre effectif en fonction de leur service ou leur région par exemple.

Dans cet article, nous allons identifier les avantages de réaliser des simulations de phishing par groupe.

Faire des simulations de phishing par groupe pour plus de réalisme

Les scénarios de phishing personnalisés se rapprochent davantage de la réalité. Réaliser des simulations de phishing par groupe vous permet ainsi d’adapter vos scénarios aux collaborateurs que vous souhaitez cibler.

Imaginons que vous souhaitiez effectuer une campagne de phishing sur votre service commercial. Il existe divers scénarios adaptés à cette situation. Une demande de connexion au CRM est par exemple un test approprié pour entraîner vos commerciaux.

Dans un second temps, supposons que vous aimeriez tester votre équipe RH. Une candidature pour un poste ou une alerte du service de santé AmeliPro sont des scénarios qui éveilleront moins de soupçons de la part du service RH.

Créer un scénario personnalisé en fonction du groupe testé vous permet ainsi de rendre l’attaque à la fois plus difficile à détecter mais aussi d’obtenir des résultats plus réalistes.

En testant un nombre restreint de vos collaborateurs, vous évitez qu’ils se « passent le mot » ce qui peut biaiser vos résultats et ainsi baisser le taux de compromission. Tester tout votre effectif en même temps améliore ainsi artificiellement le score de sécurité de votre entreprise.

Tester par groupe pour tester plus souvent

En testant vos collègues par groupe vous pouvez effectuer davantage de simulations en les répartissant au lieu de tester tout l’effectif à chaque exercice de faux phishing.

Enchaîner les tests de phishing dans l’espoir de former plus vite vos collaborateurs est rarement une bonne solution. En effectuant des simulations trop fréquentes, vos collègues peuvent se sentir harcelés et réduire leur participation à la détection et donc à la protection de l’entreprise contre le phishing.

De plus, vos exercices de phishing seront bien plus prévisibles en testant régulièrement les mêmes personnes. Le facteur « aléatoire » vous permet de maintenir un meilleur niveau d’attention, vos collaborateurs seront ainsi plus vigilants sur la durée.

Pourquoi nous utilisons des groupes non exclusifs

Exemple d'employé - Plateforme Arsen

Un employé peut faire partie de plusieurs groupes (17 ici)

Il peut être intéressant de segmenter vos collaborateurs de diverses manières. En utilisant la plateforme Arsen, un utilisateur peut être membre de plusieurs groupes.

Segmenter vos collègues par région peut être judicieux. Par exemple, certains peuvent ne pas avoir les mêmes horaires en fonction de leur localisation géographique.

Vous avez ainsi la possibilité de choisir des timings plus pertinents selon les groupes. Vous pouvez aussi créer des scénarios circonstanciés par région, en utilisant par exemple des actualités liées à cette dernière dans vos scénarios de phishing.

Un autre découpage pour vos simulations de phishing est, comme nous l’avons vu précédemment, par fonction. Vous avez ainsi la possibilité de personnaliser vos scénarios par rapport au service ciblé.

Si vous souhaitez tester votre service marketing, une alerte de sécurité d’un réseau social sera par exemple un scénario pertinent pour un exercice de phishing.

Se concentrer sur les points faibles

En utilisant Arsen, chaque utilisateur possède un score de sécurité personnel mais chaque groupe est également accompagné d’un score correspondant. En attribuant un score par équipe, cela vous permet de classer les groupes et d’ainsi, prioriser vos simulations sur des groupes nécessitant plus d’entraînement.

Scores de sécurité par groupe

Vous pouvez choisir de cibler spécifiquement les groupes qui ont un score faible afin d'améliorer votre résilience globale.

Vous identifierez ainsi quels sont les groupes « à risque » pour vous permettre de cibler lors de vos futures simulations les utilisateurs les plus vulnérables et ainsi renforcer votre firewall humain.

Instaurer une compétition pour tirer les résultats vers le haut

Lors de la restitution des résultats, vous pouvez présenter un classement par groupe. De cette manière, vous rendez plus ludique l’apprentissage et instaurez une compétition saine entre les groupes.

Compétition saine

Cette compétition entre vos collaborateurs tirera leurs résultats vers le haut en les challengeant entre eux. Répartir vos résultats par groupe permet également de rendre anonymes les résultats et ainsi de ne pas cibler d’individus, ce qui pourrait être contre-productif.

Cette méthode vous permet donc de retranscrire la performance de vos collaborateurs et de générer de la motivation dans leur entraînement. Effectuer un renforcement positif vous permet également d’éviter de pointer du doigt les « mauvais élèves ».

En conclusion, réaliser des simulations de phishing par groupe vous permet de créer des scénarios plus réalistes et moins prévisibles. Vous pourrez tester fréquemment votre effectif en segmentant vos exercices pour identifier quels sont les points faibles de votre sécurité.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.