Les menaces d’hameçonnage sont littéralement partout. Et si vos employés sont incapables de les identifier, vos données sont à risque. Dans ce contexte, planifier une simulation d’hameçonnage permet d’identifier dans quelle mesure les employés sont capables de repérer par eux-mêmes les menaces les plus récentes.
Car les organisations qui ne réussissent pas à offrir une formation adéquate en sensibilisation à la cybersécurité sont nombreuses. Des recherches démontrent que plus de 25 % des travailleurs américains tombent dans le piège des courriels d’hameçonnage.
Le présent article examine donc comment les leaders en sécurité peuvent organiser une campagne de simulation d’hameçonnage réussie pour aider leurs employés à repérer les cybermenaces et en particulier l’ingénierie sociale.
Qu’est-ce qu’une simulation d’hameçonnage ? Et comment ça marche ?
En termes simples, une simulation d’hameçonnage est un test qui vous permet d’envoyer un courriel à un groupe d’utilisateurs pour les inciter à cliquer sur un faux lien ou une fausse pièce jointe. Si un employé clique sur le lien, la pièce jointe ou qu’il entre ses données dans un formulaire sur un faux site Web, il est considéré à risque étant donné qu’il aurait pu infecter votre réseau si l’attaque avait été réelle.
C’est pourquoi, lorsque vous décidez de lancer une simulation d’hameçonnage, ciblez un groupe d’utilisateurs et n’informez qu’une poignée de personnes (qui ne font pas partie du groupe évalué) au sein de votre organisation.
Votre premier test devrait vous servir à comparer la sensibilisation à la cybersécurité de vos utilisateurs par rapport à d’autres organisations. La plupart des organisations qui effectuent des simulations d’hameçonnage obtiennent les résultats suivants :
- Entre 20 et 30 % des utilisateurs cliquent sur les liens
- Entre 10 et 20 % des utilisateurs ouvrent les pièces jointes
- Moins de 5 % des utilisateurs partagent leurs informations dans les formulaires
2 étapes pour créer un bon programme de sensibilisation à l’hameçonnage
Si vous ne savez pas comment organiser une campagne de simulation d’hameçonnage réussie, vous pouvez commencer en suivant ces deux étapes simples :
Étape 1 : Définir un objectif
La première étape consiste à déterminer l’objectif de la simulation. Il vous suffit d’identifier le type de menace pour laquelle vous souhaitez que vos employés soient testés. Voici les trois principaux outils et objectifs qui peuvent être utilisés :
- Liens malveillants — Utilisez des liens pour tester dans quelle mesure vos employés sont susceptibles de cliquer sur ceux-ci, d’installer des logiciels malveillants sur leur appareil ou de partager leurs accès.
- Collecte de données via un formulaire Web – Une tactique commune utilisée par les fraudeurs est d’amener leurs victimes à cliquer sur un lien les menant vers un faux formulaire Web. Leur utilisation dans le cadre de votre simulation vous permet de déterminer si vos utilisateurs sont susceptibles de partager leurs informations sensibles et leurs données d’accès avec un imposteur.
- Pièce jointe infectée – Les cybercriminels intègrent régulièrement des virus dans des fichiers pour infecter les appareils des destinataires. En transmettant une fausse pièce jointe infectée à vos utilisateurs, vous pouvez tester la sécurité des points d’accès.
Peu importe l’objectif que vous choisirez, votre stratégie est d’essayer de répliquer le plus possible les techniques utilisées par les pirates pour amener les employés à partager leurs informations. Par conséquent, il est fortement recommandé de miser sur une solution de simulation d’hameçonnage prête à l’emploi qui utilise des exemples issus d’attaques réelles.
Étape 2 : Sélectionner un scénario
Après avoir défini votre objectif, il est temps de sélectionner le scénario que vous utiliserez dans votre simulation d’hameçonnage pour tester les utilisateurs. Il existe trois principales façons de construire des scénarios de test :
- Se faire passer pour un service interne ou externe de votre organisation
- Se faire passer pour une organisation existante ou une marque fictive (idéalement, optez pour une organisation existante — c’est ce que les pirates font quotidiennement)
- Utiliser un scénario prêt à l’emploi ou en concevoir un à partir de zéro (nous recommandons les solutions prêtes à l’emploi puisqu’elles sont élaborées selon des scénarios basés sur des attaques réelles)
La clé pour sélectionner le meilleur scénario pour vos utilisateurs est d’en choisir un qui reflète leur réalité quotidienne. Demandez-vous quelles sont les marques auxquelles ils font confiance et sur quels boutons d’appel à l’action ils sont le plus susceptibles de cliquer pour les mener à un site d’hameçonnage.
Que faire lorsque la simulation est terminée ?
Une fois la simulation complétée, vous serez capable de mesurer le nombre d’utilisateurs ayant cliqué sur les liens, les pièces jointes et les formulaires malveillants. En règle générale, vous devriez viser un taux d’hameçonnage inférieur à 5 % pour ce qui est des clics sur les liens, et un taux inférieur à 1 % en ce qui concerne le partage de données confidentielles tel que les noms d’utilisateurs et les mots de passe.
Toutefois, entre 4 et 5 simulations d’hameçonnage sont habituellement nécessaires avant que vos employés ne parviennent à un taux d’hameçonnage de moins de 5 %. Par conséquent, ne vous découragez pas si vous n’obtenez pas les taux escomptés les premières fois.
Vous pouvez également mesurer l’efficacité du programme en examinant le nombre d’utilisateurs tombés dans le piège et ayant complété ou non la formation ainsi que le nombre de cliqueurs fréquents.
Même si vous savez comment concevoir une simulation d’hameçonnage réussie, il est essentiel d’analyser les données que vous avez recueillies. Cela vous permettra d’identifier les lacunes de vos employés en matière de sensibilisation à la cybersécurité et de déterminer les sujets à prioriser lors des prochaines formations.
Voici certains des sujets qui peuvent être révisés :
- Sécurité des courriels
- Ingénierie sociale
- Hameçonnage
- Logiciel malveillant
- Vol d’identité
- Utilisation d’Internet
- Rançongiciel
- Compromission de courriels professionnels (BEC)
- Mots de passe
Combien de simulations d’hameçonnage devrais-je planifier par année ?
Il est tout aussi important de valider le nombre de simulations d’hameçonnage que vous ferez dans une année, que de savoir comment en concevoir une. Le nombre de simulations d’hameçonnage dépendra des besoins de vos utilisateurs et de vos objectifs plus larges en matière de cybersécurité.
En règle générale, nous recommandons aux entreprises d’effectuer entre 6 et 10 simulations d’hameçonnage par utilisateur par année puisque nos recherches démontrent que le délai idéal entre les simulations est de 40 à 60 jours.
Cet intervalle de temps est suffisamment régulier pour que les menaces de sécurité demeurent bien présentes dans l’esprit des employés, mais sans les fatiguer avec trop d’activités de formation.
Résumé
Si vous ne savez pas comment concevoir une campagne de simulation d’hameçonnage, il existe de nombreuses ressources pour vous aider. L’élément le plus important est d’évaluer vos utilisateurs avec des scénarios réalistes.
De cette façon, ils seront au courant des techniques utilisées au quotidien par les pirates, ce qui permettra de réduire de façon importante les risques qu’une violation de données survienne dans votre environnement.
Vous aimeriez comparer votre niveau de sensibilisation à la cybersécurité à celui d’autres organisations de votre secteur ou de votre région ?
Visionnez ce webinaire présentant les résultats du Gone Phishing Tournament