L'entraînement contre le phishing passe par la pratique. Comme pour la sensibilisation, il existe de nombreuses façons de faire.
Chez Arsen, nous considérons qu’il existe deux grands types de simulation pour vos exercices de faux phishing : une simulation réaliste et une simulation plus axée sur la sensibilisation.
Afin de préparer au mieux vos équipes, il est important de se demander quel type de simulation de phishing choisir.
Nous allons voir dans cet article les avantages et les inconvénients de ces deux types de simulation afin que vous puissiez évaluer dans quelles proportions les utiliser pour répondre à vos besoins.
La simulation silencieuse : au plus proche du réel
La simulation d’attaque “silencieuse” reproduit les conditions d’une attaque réaliste. L’objectif du hacker est de rester discret, ne pas éveiller les soupçons chez la victime si elle transmet ses identifiants.
Ainsi, à la suite d’une collecte d’identifiant qui réussit, le hacker redirige la victime vers une page cohérente pour celle-ci une fois les identifiants capturés. Cette page peut être une page d’erreur invitant l’utilisateur à réessayer plus tard ou une page sur laquelle il est déjà identifié.
Par exemple, notre scénario de simulation de credential harvesting pour Office 365 redirige la cible vers Office 365 lors de la soumission de ses identifiants. Si la personne était déjà connectée auparavant, elle ne verra pas l'écran de connexion légitime mais sera directement amenée vers la page d'accueil de son compte Office.
Email et écran de connexion utilisés dans un scénario de phishing Office 365
La plupart du temps, la personne aura l'impression d’avoir suivi le processus de connexion habituel car Office 365 possède une session d’authentification longue.
Ainsi, elle est connectée une fois redirigée et à moins de chances de se rendre compte de son erreur. La victime ne lancera donc pas d'alerte car il n’y a rien d’inhabituel qui puisse lui laisser penser à une tentative de vol d’identifiants.
Afin d’accroître votre discrétion, vous pouvez réaliser des attaques par petits groupes. Vous limitez ainsi l’entraide possible entre les collaborateurs et le risque qu’il y ait un lanceur d’alerte.
Programmation des dates de simulation dans Arsen
Répartir vos simulations dans le temps est également un autre facteur de discrétion. Il permet d’éviter à vos collègues de « prévoir » les périodes de campagnes et donc de ne pas agir dans des conditions réalistes.
D’une manière générale, un hacker n’enverra pas d’email à l’intégralité de votre effectif d’un coup, ni ne le testera par petits groupes tous les mardis. Ces comportements seraient trop “bruyants” et mèneraient à un signalement ce qui représenterait un risque pour son attaque.
Avantages d’une simulation de phishing réaliste
Premièrement, en réalisant une attaque réaliste, vous prenez connaissance de la résilience de l’entreprise au plus près des conditions réelles. Il est ainsi plus facile de mesurer l’évolution des compétences de vos collaborateurs au fil de ces campagnes.
Avec l’attaque silencieuse, vous sensibilisez davantage sur la discrétion de certaines attaques. Les utilisateurs ayant commis une erreur ne sont pas directement mis au courant puisqu'ils ne reçoivent aucune indication spécifique sur l'erreur commise.
Selon le rapport de 2020 “Cost of a Data Breach” d’IBM, il faut en moyenne 280 jours pour identifier et maîtriser une violation de données. Généralement, les entreprises ne prennent connaissance de l’attaque qu’après avoir subi les conséquences de cette dernière.
Vous vous rapprochez là encore des conditions réelles.
Inconvénients de la simulation silencieuse
Ce type de simulation est très populaire lors des premières campagnes d'entraînement, néanmoins il présente un inconvénient majeur.
À trop utiliser ces attaques, le collaborateur peut se sentir plus piégé qu’entraîné par les services de sécurité de l’entreprise. Si vous perdez la confiance qu’ont vos collègues à votre égard, leur investissement dans la cyber résilience de l’entreprise pourrait être compromis.
En réalisant régulièrement des attaques silencieuses à difficulté équivalente, vous risquez de ne pas voir d’évolution. Les scores risquent de rester sensiblement les mêmes si vous ne donnez pas d’outils et de méthode de détection aux personnes testées.
Il est donc intéressant d’utiliser également des simulations offrant des contenus de sensibilisation.
La simulation avec sensibilisation intégrée
Page d'entrainement de campagne de sensibilisation sur Arsen
La simulation avec sensibilisation redirige le collaborateur vers un contenu d’apprentissage lorsqu’il commet une erreur. Cette méthode entraîne directement vos collègues à adopter un meilleur comportement. Ils gagnent en vigilance afin d’augmenter leur résilience face au phishing.
Avantages du faux phishing de sensibilisation
Avec cette méthode, vous obtenez une sensibilisation instantanée. Le collaborateur est déjà dans un contexte de formation lorsqu’il interagit avec sa boîte mail. Il ne rencontre pas de friction telle que la connexion à la plateforme d’e-learning et n'a pas non plus besoin de réserver du temps pour parcourir des contenus théoriques. Il est directement formé au moment le plus opportun.
Vous obtenez également un engagement fort de la part de vos collaborateurs, lié à l’effet de surprise. Ils ne s’attendent pas à se faire piéger et souhaitent donc directement apprendre quelles ont été leurs erreurs et comment les éviter.
Inconvénients des exercices de phishing de sensibilisation
Ces simulations peuvent entraîner un manque de réalisme sur les données collectées. Puisqu’ils sont au courant de l’exercice au moment où ils commettent une erreur, vos collaborateurs peuvent communiquer entre eux et améliorer artificiellement leur score de sécurité en signalant des emails qu’ils n’auraient pas détectés autrement.
De plus, il est nécessaire de produire et d’adapter des contenus variés pour garder un haut niveau d’attention dans la partie formation. Sensibiliser trop souvent avec les mêmes contenus risque de réduire l’efficacité des contenus de formation.
Le rythme à adopter
Nous vous recommandons d’équilibrer vos campagnes afin de bénéficier des avantages et limiter les inconvénients qu’amènent celles-ci :
- Une campagne dite "silencieuse" par trimestre sur tout l’effectif pour mesurer l’évolution concrète de votre résilience au phishing
- En fonction de vos exigences, entre une campagne de sensibilisation par mois et une par semaine afin de former vos collaborateurs à se protéger contre le phishing.
Il n’y a pas une seule bonne méthode, c’est pourquoi nous vous offrons la capacité de réaliser les deux types d'entraînements : l’attaque silencieuse comme la simulation pour la sensibilisation.
Équilibrez vos campagnes et créez des réflexes durables chez vos collaborateurs à travers vos simulations de phishing.
