Quel type de simulation de phishing choisir ?
Découvrez deux types de simulation de phishing : la simulation réaliste et la simulation axée sur la sensibilisation.
Découvrez deux types de simulation de phishing : la simulation réaliste et la simulation axée sur la sensibilisation.
L'entraînement contre le phishing passe par la pratique. Comme pour la sensibilisation, il existe de nombreuses façons de faire.
Chez Arsen, nous considérons qu’il existe deux grands types de simulation pour vos exercices de faux phishing : une simulation réaliste et une simulation plus axée sur la sensibilisation.
Afin de préparer au mieux vos équipes, il est important de se demander quel type de simulation de phishing choisir.
Nous allons voir dans cet article les avantages et les inconvénients de ces deux types de simulation afin que vous puissiez évaluer dans quelles proportions les utiliser pour répondre à vos besoins.
La simulation d’attaque “silencieuse” reproduit les conditions d’une attaque réaliste. L’objectif du hacker est de rester discret, ne pas éveiller les soupçons chez la victime si elle transmet ses identifiants.
Ainsi, à la suite d’une collecte d’identifiant qui réussit, le hacker redirige la victime vers une page cohérente pour celle-ci une fois les identifiants capturés. Cette page peut être une page d’erreur invitant l’utilisateur à réessayer plus tard ou une page sur laquelle il est déjà identifié.
Par exemple, notre scénario de simulation de credential harvesting pour Office 365 redirige la cible vers Office 365 lors de la soumission de ses identifiants. Si la personne était déjà connectée auparavant, elle ne verra pas l'écran de connexion légitime mais sera directement amenée vers la page d'accueil de son compte Office.
La plupart du temps, la personne aura l'impression d’avoir suivi le processus de connexion habituel car Office 365 possède une session d’authentification longue.
Ainsi, elle est connectée une fois redirigée et à moins de chances de se rendre compte de son erreur. La victime ne lancera donc pas d'alerte car il n’y a rien d’inhabituel qui puisse lui laisser penser à une tentative de vol d’identifiants.
Afin d’accroître votre discrétion, vous pouvez réaliser des attaques par petits groupes. Vous limitez ainsi l’entraide possible entre les collaborateurs et le risque qu’il y ait un lanceur d’alerte.
Répartir vos simulations dans le temps est également un autre facteur de discrétion. Il permet d’éviter à vos collègues de « prévoir » les périodes de campagnes et donc de ne pas agir dans des conditions réalistes.
D’une manière générale, un hacker n’enverra pas d’email à l’intégralité de votre effectif d’un coup, ni ne le testera par petits groupes tous les mardis. Ces comportements seraient trop “bruyants” et mèneraient à un signalement ce qui représenterait un risque pour son attaque.
Premièrement, en réalisant une attaque réaliste, vous prenez connaissance de la résilience de l’entreprise au plus près des conditions réelles. Il est ainsi plus facile de mesurer l’évolution des compétences de vos collaborateurs au fil de ces campagnes.
Avec l’attaque silencieuse, vous sensibilisez davantage sur la discrétion de certaines attaques. Les utilisateurs ayant commis une erreur ne sont pas directement mis au courant puisqu'ils ne reçoivent aucune indication spécifique sur l'erreur commise.
Selon le rapport de 2020 “Cost of a Data Breach” d’IBM, il faut en moyenne 280 jours pour identifier et maîtriser une violation de données. Généralement, les entreprises ne prennent connaissance de l’attaque qu’après avoir subi les conséquences de cette dernière.
Vous vous rapprochez là encore des conditions réelles.
Ce type de simulation est très populaire lors des premières campagnes d'entraînement, néanmoins il présente un inconvénient majeur.
À trop utiliser ces attaques, le collaborateur peut se sentir plus piégé qu’entraîné par les services de sécurité de l’entreprise. Si vous perdez la confiance qu’ont vos collègues à votre égard, leur investissement dans la cyber résilience de l’entreprise pourrait être compromis.
En réalisant régulièrement des attaques silencieuses à difficulté équivalente, vous risquez de ne pas voir d’évolution. Les scores risquent de rester sensiblement les mêmes si vous ne donnez pas d’outils et de méthode de détection aux personnes testées.
Il est donc intéressant d’utiliser également des simulations offrant des contenus de sensibilisation.
La simulation avec sensibilisation redirige le collaborateur vers un contenu d’apprentissage lorsqu’il commet une erreur. Cette méthode entraîne directement vos collègues à adopter un meilleur comportement. Ils gagnent en vigilance afin d’augmenter leur résilience face au phishing.
Avec cette méthode, vous obtenez une sensibilisation instantanée. Le collaborateur est déjà dans un contexte de formation lorsqu’il interagit avec sa boîte mail. Il ne rencontre pas de friction telle que la connexion à la plateforme d’e-learning et n'a pas non plus besoin de réserver du temps pour parcourir des contenus théoriques. Il est directement formé au moment le plus opportun.
Vous obtenez également un engagement fort de la part de vos collaborateurs, lié à l’effet de surprise. Ils ne s’attendent pas à se faire piéger et souhaitent donc directement apprendre quelles ont été leurs erreurs et comment les éviter.
Ces simulations peuvent entraîner un manque de réalisme sur les données collectées. Puisqu’ils sont au courant de l’exercice au moment où ils commettent une erreur, vos collaborateurs peuvent communiquer entre eux et améliorer artificiellement leur score de sécurité en signalant des emails qu’ils n’auraient pas détectés autrement.
De plus, il est nécessaire de produire et d’adapter des contenus variés pour garder un haut niveau d’attention dans la partie formation. Sensibiliser trop souvent avec les mêmes contenus risque de réduire l’efficacité des contenus de formation.
Nous vous recommandons d’équilibrer vos campagnes afin de bénéficier des avantages et limiter les inconvénients qu’amènent celles-ci :
Il n’y a pas une seule bonne méthode, c’est pourquoi nous vous offrons la capacité de réaliser les deux types d'entraînements : l’attaque silencieuse comme la simulation pour la sensibilisation.
Équilibrez vos campagnes et créez des réflexes durables chez vos collaborateurs à travers vos simulations de phishing.