Dans le cadre d’un sondage réalisé l’année dernière, 35 % des organisations ont révélé avoir été la cible d’au moins une attaque d’hameçonnage. L’hameçonnage continue donc de représenter une menace omniprésente et de nombreuses organisations ont commencé à réaliser des simulations d’hameçonnage pour mesurer la sensibilisation à la sécurité de leurs employés. Toutefois, l’un des défis liés à cette pratique provient de faux résultats d’hameçonnage positifs altérant les données.
En effet, les outils de sécurité installés dans l’environnement peuvent scanner les liens automatiquement et donner l’impression qu’un utilisateur n’a pas réussi à identifier un courriel d’hameçonnage alors qu’en réalité, il s’agit d’un clic de robot. Par conséquent, l’utilisateur échoue injustement au test.
Cet article vise donc à définir et à examiner les clics de robots, ainsi qu’à démontrer comment votre organisation peut éviter les faux positifs dans le cadre de simulations d’hameçonnage.
Qu’est-ce qu’une simulation d’hameçonnage ?
Une simulation d’hameçonnage est un test qui permet aux organisations d’envoyer à leurs employés de faux courriels d’hameçonnage en vue de mesurer le taux de clic sur un lien malveillant. Si les utilisateurs cliquent, ils échouent la simulation puisqu’ils sont tombés dans le piège d’une cyberattaque commune. En cas de véritable attaque d’hameçonnage, des informations sensibles auraient pu être compromises. En mesurant les clics des utilisateurs, une organisation peut évaluer à quel point ses employés sont aptes à repérer les arnaques, s’ils appliquent les meilleures pratiques en matière de cybersécurité ou s’ils ont besoin de plus de formation.
Qu’est-ce qu’un clic de robot ?
Or les solutions logicielles et les outils de sécurité offerts par des tierces parties sont dotés de robots qui ont la capacité d’ouvrir toutes les adresses URL contenues dans un courriel. Ces solutions permettent d’assurer qu’aucun contenu malveillant n’est présent dans les courriels y compris ceux envoyés dans un environnement sécuritaire dans le cadre de simulation d’hameçonnage. Cette fonctionnalité, bien que commune, peut gonfler artificiellement les résultats d’une simulation d’hameçonnage et ainsi fausser les données qui en résultent.
Qu’est-ce qu’un faux positif dans le cadre d’une simulation d’hameçonnage ?
Dans le cadre d’une simulation d’hameçonnage, un lien cliqué par un robot dans un environnement sécuritaire peut être comptabilisé comme un clic, même s’il n’a pas été effectué par un utilisateur humain. Ces cas sont alors appelés faux positifs.
Par exemple, si vous transmettez une simulation d’hameçonnage à un employé, une solution de détection des menaces en temps réel peut analyser et « cliquer » sur le lien dans le courriel, vous amenant à croire que c’est l’utilisateur qui a cliqué. Les faux positifs peuvent influencer la façon dont votre organisation interprète les données tirées des simulations d’hameçonnage et éventuellement impacter votre stratégie globale de formation.
Qu’est-ce qui cause les clics de robots ?
Si la majorité des clics de robots sont générés par des solutions de sécurité de détection des menaces, d’autres causes peuvent les expliquer. L’autre cause la plus fréquente survient lorsqu’un employé repère un courriel d’hameçonnage dans le cadre d’une simulation et qu’il le signale au moyen du bouton « Hameçonnage », disponible sur Outlook et d’autres messageries. Cette action peut amener le fournisseur de messagerie à analyser le lien à la recherche de contenu malveillant.
Autre scénario possible, l’utilisateur analyse le courriel ou la pièce jointe avec un service de sécurité, comme Microsoft Safelink, pour vérifier la sécurité de l’envoi. Cette action entraîne l’analyse du lien par un robot causant alors un faux positif. Finalement, d’autres raisons déclenchent des clics de robots :
- Analyse des liens par les solutions de sécurité des terminaux et les logiciels antivirus
- Prévisualisation du contenu des liens par les appareils mobiles
- Transfert de courriels par les utilisateurs amenant le serveur à les analyser
- Analyse des liens suite à une mauvaise configuration du système de sécurité de messagerie
Pourquoi est-il important de repérer les clics de robots ?
Le principal problème des robots cliqueurs est qu’ils affectent la précision des simulations d’hameçonnage, rendant plus difficile l’évaluation de la sensibilisation à la sécurité des employés. Si les clics de robots gonflent artificiellement le nombre d’utilisateurs qui échouent les simulations d’hameçonnage, vous pourriez penser que votre formation en sensibilisation n’est pas inefficace.
Pour résumer, les clics de robots sont problématiques puisqu’ils augmentent le nombre de faux positifs, réduisant le degré général de précision de votre simulation d’hameçonnage et rendant plus difficile l’évaluation ou la mesure de la performance des employés lors des tests. A contrario, une bonne gestion des faux positifs permet d’accroître l’efficacité de vos simulations d’hameçonnage. Vous serez en mesure de recueillir des données plus précises sur la capacité de vos employés à repérer les courriels d’hameçonnage.
Comment identifier les faux positifs ?
Pour déterminer si votre simulation d’hameçonnage est affectée par des faux positifs, il suffit de regarder les taux de clics et les adresses IP externes. Si leur nombre est inhabituellement élevé, cela signifie qu’une solution de sécurité a analysé vos liens à plusieurs reprises. De plus, il est possible d’évaluer les adresses IP pour déterminer leur propriétaire, ce qui peut fournir de l’information sur les outils correspondants. Par exemple, Microsoft Safelink pourrait avoir une adresse IP qui réfère à Microsoft Azure.
Vous pouvez également repérer les clics de robots en recherchant les clics effectués par un système d’exploitation et un navigateur Web. Souvent appelé « agent utilisateur », c’est la combinaison du système d’exploitation et du navigateur Web qui ouvre l’URL. L’utilisation des agents utilisateurs comme référence croisée peut aider à identifier les clics qui proviennent de l’extérieur de votre environnement.
Enfin, si des employés qui ont échoué à un test affirment n’avoir cliqué sur aucun lien, cela peut valoir la peine d’enquêter davantage.
Comment prévenir les faux positifs ?
Pour prévenir les faux positifs, faites l’inventaire de tous les logiciels, produits et services de sécurité utilisés à travers votre environnement. Consultez la documentation pour vérifier s’ils scannent, analysent ou sondent les liens et déterminer s’il y a une façon de désactiver ces fonctionnalités pour des adresses IP et/ou domaines spécifiques.
Par exemple, si la solution de sécurité de votre service de messagerie offre la fonctionnalité de liste d’autorisation, vous pouvez éviter que les liens vers des sites d’hameçonnage, envoyés dans le cadre de simulation, soient analysés ou cliqués par des robots.
En règle générale, il est bon de réaliser des tests avant de s’engager dans une simulation réelle. Cela permettra de vérifier si vos configurations actuelles génèrent des faux positifs et d’ajuster vos listes d’autorisation et vos paramètres de filtrage pour garantir des résultats précis.
Il est également important d’informer les participants qu’ils doivent utiliser un mécanisme approuvé pour signaler les courriels d’hameçonnage, plutôt que d’utiliser l’outil offert par le fournisseur de messagerie afin d’éviter les faux positifs.
En résumé
Les faux positifs sont faciles à prévenir avec un peu de préparation. En sachant quels outils dans votre environnement utilisent des robots cliqueurs, vous serez en mesure de mettre les liens sur une liste d’autorisation afin de maintenir l’exactitude de vos données.
De cette façon, vous vous assurez qu’une fois la simulation d’hameçonnage complétée, vous savez quels employés étaient préparés et lesquels ont besoin d’un coup de pouce supplémentaire pour combattre les plus récentes menaces.
Vous souhaitez savoir comment la formation en sensibilisation à la sécurité peut aider votre équipe à repérer les courriels d’hameçonnage? Communiquez avec nous.
Des données d'analyse comparative sur l'hameçonnage gratuites pour former vos cyberhéros
Suscitez une changement de comportement efficace et renforcez vos initiatives de sensibilisation à la sécurité avec des données d'analyse comparative approfondies et des conseils d'experts.