En combinant les formations de sensibilisation à l’hameçonnage et à la sécurité, vous réduisez le risque lié à votre plus grande surface d’attaque : vos employés.
Les simulations d’attaques d’hameçonnage au travail vous permettent d’abord d’évaluer la maturité de votre organisation en termes de sensibilisation à la sécurité, pour ensuite élaborer des initiatives efficaces de formation en sensibilisation à l’hameçonnage. En mettant vos utilisateurs à l’épreuve, vous serez à même de constater leur niveau de connaissances et de compétences en matière de sensibilisation à la sécurité.
Les attaques d’hameçonnage continuent à faire les manchettes et à cibler vos employés. L’histoire que nous allons vous présenter révèle certains des effets dévastateurs des attaques d’hameçonnage et démontre comment les simulations d’hameçonnage peuvent aider à accroître la résilience face à la sécurité parmi vos employés.
Même si les pirates ne tentent pas d’hameçonner vos employés sur une base régulière, des simulations d’hameçonnage contrôlées permettent à vos employés de rester alertes et d’améliorer leurs aptitudes de détection en continu.
Pendant un avant-midi typique au travail, Sam reçoit environ 40 courriels. Elle prend le temps de les examiner, supprime les indésirables, lit les plus urgents, en envoie quelques-uns, parcourt les infolettres, ouvre des documents partagés et consulte son horaire de la journée. Tout ce qu’il y a de plus normal.
Ces jours-ci toutefois, Sam affronte sa boîte de réception avec une sombre détermination. Il y a deux semaines, elle a été victime d’une attaque perpétrée par une équipe de pirates dont l’objectif était d’hameçonner l’entreprise de Sam. Elle a reçu un courriel contenant un lien vers un site qui semblait identique à celui de son entreprise, mais dont le domaine se terminait par « .org » plutôt que par « .com ». Sam n’a pas remarqué cette subtile différence. Après avoir cliqué sur le lien, elle a été dirigée vers une page identique au site web original où on lui demandait d’entrer son nom d’utilisateur et son mot de passe pour télécharger un document. Ce que Sam a fait.
En l’espace de trois jours, la boîte de réception de notre malheureuse employée était inondée de courriels inconnus. Le compte de Sam était bombardé de messages inattendus et s’est rempli de courriels avec des objets tels que « Réponse automatique : Absence du bureau » ou « Échec de l’envoi » ainsi que de messages d’inconnus lui demandant d’arrêter de leur envoyer des courriels.
Après avoir informé la direction des activités suspectes, le CISO a rapidement été en mesure de déterminer qu’un pirate avait pris le contrôle du compte courriel de Sam et qu’il l’utilisait pour envoyer des messages d’hameçonnage à d’autres cibles.
Suite à cet évènement, la paranoïa s’est installée en elle. Chaque courriel provenant d’un destinateur inconnu pouvait être un faux. Chaque lien partagé, un piège.
Ce scénario vous semble-t-il familier?
Dans l’affirmative, vous vous demandez sûrement : comment faire pour éviter que cette situation se reproduise à nouveau?
Simuler des attaques d’hameçonnage : 3 essentiels
La simulation d’hameçonnage est une façon efficace d’évaluer les compétences de vos employés et de mesurer leurs progrès. Le test vous indique quels employés ont mordu à l’hameçon et cliqué sur les liens. Vos utilisateurs peuvent apprendre à identifier les courriels suspects et à appliquer les meilleures pratiques en ayant la chance d’expérimenter une attaque d’hameçonnage.
Mais comment mener une simulation efficace?
1. Impliquez la direction
La première étape de toute bonne simulation d’hameçonnage est d’obtenir l’approbation de la direction. Informez le moins de gens possible et expliquez-leur comment gérer les appels d’utilisateurs qui rapportent les messages d’hameçonnage. N’oubliez pas : la réaction d’un utilisateur lors de la découverte d’un message d’hameçonnage, qu’il soit réel ou simulé, devrait toujours être la même. Alerter quelqu’un ou communiquer avec le centre de soutien en TI. Pendant les simulations, il est préférable de ne pas aviser les utilisateurs qu’il s’agit d’un test. Dites-leur simplement que le département des TI s’en occupe.
2. Planifiez votre simulation
Ensuite vient la planification. Il ne faut pas envoyer les tests trop fréquemment, pour ne pas que les employés s’y attendent, mais il ne faut pas non plus les envoyés trop rarement puisque vous souhaitez recueillir des statistiques, faire des rapports et maintenir la vigilance des utilisateurs.
Ne transmettez pas des courriels d’hameçonnage à l’ensemble de la compagnie en même temps. Cela pourrait soulever la suspicion. Envoyez-les plutôt à des départements spécifiques. Par exemple, donnez un ton urgent à votre courriel pour le département de la facturation afin de les inciter à agir avec précipitation. Il s’agit d’une technique commune utilisée par les pirates pour que les gens cliquent sur un lien ou téléchargent un fichier joint.
Commencez à penser comme un cybercriminel. Qu’est-ce qui va amener vos employés à cliquer? Des lignes d’objet qui comprennent les termes « facture impayée », « gratuit » ou « offre exclusive » attirent l’attention des utilisateurs – et augmentent les chances de faire des victimes.
3. Trouvez l’équilibre entre les formations et les simulations
Pendant votre campagne de simulation d’hameçonnage, assurez-vous d’évaluer les taux d’ouverture des courriels, de téléchargement des pièces jointes et de déclaration de l’information, ainsi que les taux de clics. Établissez des rapports sur le nombre d’utilisateurs qui se sont fait prendre par l’attaque d’hameçonnage ainsi que sur le nombre d’employés qui ont rapporté l’incident à la direction. Si vous observez une tendance vers la diminution des taux de clics et l’augmentation des taux de déclarations, vos simulations et votre programme de formation en sensibilisation à la cybersécurité sont efficaces.
L’hameçonnage est sans doute l’un des problèmes les plus importants auxquels font face les organisations. Il n’y a pas deux attaques semblables. Néanmoins, lorsque vous formez vos employés en sensibilisation à la sécurité, ils sont en mesure de détecter rapidement les courriels malicieux et de réagir conformément aux meilleures pratiques en cybersécurité. Par exemple, ils auront le réflexe de référer les courriels d’hameçonnage au service de sécurité approprié et d’aviser les collègues du danger afin qu’ils ne mordent pas à l’hameçon.
La formation en sensibilisation à l’hameçonnage apporte une valeur ajoutée à votre initiative générale de sensibilisation à la sécurité. En testant les connaissances et compétences de vos employés, vous contribuez à un changement de comportement plus large qui encourage les utilisateurs à se former et à être plus informés et alertes en matière de cybersécurité.
Avez-vous expérimenté des simulations d’attaques d’hameçonnage avec votre personnel? Si oui, avez-vous réussi à faire des victimes? Quel groupe avez-vous ciblé et quel genre de courriel d’hameçonnage avez-vous envoyé? Autant de questions qui se posent lors du déploiement d’une campagne de simulation d’hameçonnage.
Faites-en plus et amenez votre organisation vers de nouveaux sommets avec la formation en sensibilisation à l’hameçonnage.
Obtenez gratuitement des données d’analyse comparative sur l’hameçonnage pour former vos cyberhéros
Le Gone Phishing TournamentMC est un événement annuel gratuit en cybersécurité conçu pour les leaders en sécurité et en gestion du risque. Favorisez un réel changement de comportement et améliorez votre programme de formation en sensibilisation à la sécurité grâce à des données d’analyse comparative détaillées, et ce, sans aucuns frais pour votre organisation.