Près des trois quarts des cyberattaques en entreprise démarrent par une tentative d’hameçonnage ou phishing, d’après le Club des experts de la sécurité de l’information et du numérique (CESIN). Il devient donc primordial d’aider vos employés à repérer ces tentatives via des campagnes de simulation régulières.
Si l’hameçonnage reste un vecteur d’attaque privilégié, les attaquants font aussi évoluer leurs pratiques en la matière. Ils mettent sur pied des attaques de plus en plus ciblées et personnalisées, et donc de plus en plus difficiles à repérer pour vos employés. Comment réussir vos campagnes de simulation d’hameçonnage dans ce contexte ?
Après avoir lu cet article, vous saurez comment doit se dérouler une campagne de simulation d’hameçonnage pour être efficace et quelles sont les cinq erreurs à éviter absolument pour optimiser vos différents envois.
Comment se déroule une campagne de simulation d’hameçonnage ?
L’objectif d’une campagne de simulation d’hameçonnage est de tester les réflexes des employés en cas de tentative d’hameçonnage. Pour cela, un courriel est envoyé aux utilisateurs et tente par exemple de les inciter à cliquer sur un lien frauduleux ou à ouvrir une pièce jointe infectée. Une fois la campagne terminée, l’entreprise peut évaluer le pourcentage de personnes ayant cliqué sur le lien ou ouvert la pièce jointe. En ce sens, les campagnes de simulation d’hameçonnage permettent d’évaluer le niveau de maturité des employés face aux risques cyber. Encore faut-il respecter quelques règles pour construire des simulations efficaces, et surtout éviter quelques erreurs.
Erreur n° 1 : envoyer des courriels ni réalistes ni ciblés
On distingue deux grandes manières de pratiquer l’hameçonnage : l’hameçonnage « de masse » et l’attaque de harponnage ou spear phishing. Le premier consiste à envoyer le même e-mail à un très grand nombre de personnes et au moment, quand le second mise sur des courriels personnalisés et ciblés, et donc très efficaces.
Concrètement, si votre campagne de simulation d’hameçonnage envoie des courriels avec des noms d’expéditeurs farfelus, des outils que vous n’utilisez pas ou encore des informations complètement fantasques, votre simulation ne sera pas réaliste et l’entraînement aura peu d’intérêt. Vous avez tout intérêt à entraîner vos salariés en « conditions réelles ». Si vous prenez le temps de personnaliser votre courriel d’hameçonnage avec le nom d’un directeur de l’entreprise, un faux lien vers l’un de vos outils métier ou encore les coordonnées de l’un de vos fournisseurs, il sera beaucoup plus réaliste. Votre simulation sera similaire à ce que les pirates sont aujourd’hui capables de faire en récupérant des informations sur Internet à propos de votre entreprise.
Deuxième point important pour la préparation de vos campagnes de simulation : à qui allez-vous envoyer les courriels d’hameçonnage ? Évitez d’envoyer le même courriel à tout le monde et au même moment. Il est préférable de cibler une direction, une équipe ou encore une fonction au sein de l’entreprise. Variez le contenu des courriels, mais aussi les heures et les jours d’envoi.
Erreur n° 2 : ne pas varier les scénarios
Les pirates utilisent différentes manières pour inciter l’utilisateur à réaliser une action. Il peut s’agir d’un courriel contenant un lien frauduleux sur lequel l’utilisateur est incité à cliquer, d’une pièce jointe infectée, d’une autorisation à accorder, etc. Vos courriels de simulation doivent refléter cette variété. Il est également préférable que vos campagnes reflètent les différents scénarios utilisés par les pirates. Voici quelques exemples de scénarios qui permettront d’entraîner vos employés :
- Un courriel semblant émaner de votre fournisseur de messagerie et invitant les employés à mettre à jour leurs identifiants de connexion en cliquant sur un lien.
- Un courriel semblant provenir d’un de vos fournisseurs avec une pièce jointe infectée à télécharger (une fausse facture, par exemple).
- Une notification de partage de document semblant émaner d’un collègue.
En intégrant différents scénarios au sein de vos campagnes de simulation, vos employés pourront se familiariser avec les différentes tentatives d’hameçonnage auxquelles ils risquent d’être confrontés. En étant exposés aux techniques les plus couramment utilisées par les pirates, ils développeront leurs réflexes.
Erreur n° 3 : ne pas définir de fréquence
Tous les grands sportifs le disent : on obtient de grandes performances grâce à la régularité. Même si la sensibilisation à la cybersécurité n’est pas (encore) considérée comme un sport de haut niveau, elle obéit pourtant à cette même règle, car on sait que le taux d’employés qui ne détectent pas les tentatives d’hameçonnage baisse quand les simulations sont plus fréquentes. L’entraînement permettra de changer le comportement des utilisateurs sur la durée.
Pour maintenir une bonne dynamique d’entraînement, pensez à planifier vos différents envois. Comment savoir quelle est la bonne fréquence ? D’après les recherches effectuées par Terranova Security, le délai idéal entre chaque simulation varie de 40 à 60 jours. Vous pouvez donc envisager de planifier entre 6 et 10 simulations par an et par utilisateur, avec à chaque fois des scénarios différents, et si possible une actualisation des techniques utilisées par les pirates. Cette fréquence permet aux collaborateurs de toujours garder à l’esprit la question de la cybersécurité et de ne pas baisser leur niveau de vigilance.
Erreur n° 4 : ne pas impliquer les utilisateurs
Les collaborateurs se retrouvent bien souvent en première ligne lorsqu’une tentative d’extorsion de données ou d’intrusion se produit. C’est bien leur capacité à détecter une tentative d’hameçonnage qui permettra à la tentative d’échouer ou de réussir. La prévention et la formation des collaborateurs doivent donc désormais faire partie intégrante des stratégies de cybersécurité des organisations. Une bonne prise de conscience des risques cyber et un travail d’entraînement régulier sont capables de donner de bons résultats. Le fait de ne pas impliquer suffisamment les employés constitue un problème.
Concrètement, plusieurs actions sont possibles pour impliquer et responsabiliser les salariés à l’occasion des simulations d’hameçonnage : leur apprendre à repérer et signaler les menaces, à vérifier les informations qui leur semblent douteuses, à partager ces bonnes pratiques auprès de leurs collègues, et pourquoi pas en faire des ambassadeurs en matière de cybersécurité.
L’objectif de toutes ces actions est de faire de vos collaborateurs des maillons essentiels de votre chaîne de cybersécurité et de votre culture en la matière. Des collaborateurs impliqués progresseront mieux et adopteront plus facilement les bons réflexes.
Erreur n° 5 : ne pas analyser les résultats des campagnes
Les résultats de vos premières campagnes de simulation sont disponibles et vous vous demandez comment les interpréter ? On estime qu’une campagne de simulation d’hameçonnage réussie doit viser un taux de clic sur les liens inférieur à 5 %. Ne vous découragez pas si vos chiffres sont plus élevés lors des premiers envois, vos simulations d’hameçonnage sont justement là pour faire progresser vos collaborateurs. L’essentiel est que vos chiffres, campagne après campagne, reflètent leur progression. D’autre part, vous pouvez travailler à éviter qu’un nombre trop important de « faux positifs » ne vienne fausser vos données (lorsque les robots de vos logiciels de sécurité cliquent sur les liens).
Avez-vous pensé à partager les résultats de vos campagnes de simulation ? Certains utilisateurs apprécieront de connaître leurs résultats après les différentes simulations d’hameçonnage. Ils pourront ainsi constater leur progrès. Ce partage peut renforcer leur motivation à faire mieux lors des prochaines simulations.
Pour être véritablement efficace, votre programme de sensibilisation à la cybersécurité ne doit d’ailleurs pas s’arrêter aux simulations d’hameçonnage, mais s’intégrer dans une formation plus large. Les résultats de vos simulations vous donneront des éléments sur le niveau de maturité de vos collaborateurs en matière de cybersécurité et vous permettront d’identifier les sujets sur lesquels il est nécessaire d’insister pour développer leurs compétences.
En bref
Vous savez désormais quels sont les erreurs à éviter et les points à soigner pour construire des simulations d’hameçonnage efficaces. Si celles-ci sont bien construites, vous pourrez réduire considérablement le risque d’hameçonnage au sein de votre entreprise.
Les cybermenaces évoluent sans cesse et les techniques des pirates également. Vos simulations d’hameçonnage doivent refléter ces évolutions et s’inscrire dans un processus d’amélioration continue. C’est ainsi que vous pourrez entretenir les réflexes de vos collaborateurs et mettre en place une culture de la sécurité.
Pensez également à intégrer vos campagnes de simulation d’hameçonnage dans un plan de formation à la cybersécurité. Si la lutte contre l’hameçonnage est essentielle, elle n’est malheureusement pas la seule cybermenace sur laquelle vous devez porter vos efforts.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Visitez notre Hub de la cybersécurité gratuit pour apprendre et partager des informations cruciales sur l’hameçonnage, l’ingénierie sociale et d’autres cybermenaces.