Les tests de phishing peuvent être un moyen efficace d'améliorer la sensibilisation à la cybersécurité, de responsabiliser les employés et de se défendre contre les cyberattaques.
Le phishing est devenu la plus grande menace cybernétique au monde et, l'année dernière, les escroqueries ont augmenté de 350 % , les cybercriminels exploitant la peur et le chaos provoqués par la pandémie de coronavirus. Les attaques d'ingénierie sociale comme le phishing reposent sur la capacité de l'attaquant à exploiter les vulnérabilités et les émotions humaines pour atteindre ses objectifs.
Une grande partie de la main-d'œuvre continuant à travailler à domicile, il est essentiel que les employés puissent reconnaître les menaces de phishing sophistiquées dans leurs boîtes de réception et sachent comment y faire face de manière appropriée.
Qu'est-ce qu'un test d'hameçonnage?
Un test de phishing, ou simulation de phishing comme on l'appelle aussi, est utilisé par les organisations pour déterminer le degré de sensibilité de leur personnel aux attaques de phishing. En utilisant un environnement sûr et contrôlé, les organisations peuvent envoyer à leurs employés des e-mails de phishing réalistes afin de mesurer leur connaissance des méthodes d'attaque et de savoir comment ils réagiraient si la menace était réelle.
Ces attaques simulées aident les employés à identifier les menaces actuelles et les informent en temps utile sur la manière dont ils peuvent améliorer leurs comportements en matière de sécurité. Si un employé clique sur un phishing, il est immédiatement confronté à une expérience d'apprentissage ponctuelle qui l'aide à reconnaître les signes d'une attaque de phishing et l'encourager à signaler les tentatives de phishing.
Les organisations peuvent à leur tour utiliser ces données pour identifier les points faibles, adapter la formation afin de combler les lacunes en matière de sensibilisation, et suivre les progrès au fil du temps.
Comment réaliser un test de phishing efficace
Établir une base de référence
Avant de lancer votre programme de sensibilisation au phishing, vous devez établir une base de référence. Cela vous aidera à déterminer dans quelle mesure votre entreprise est sensible aux e-mails de phishing frauduleux et quel pourcentage de vos employés se serait laissé prendre à l'attaque si elle avait été réelle.
Vous pouvez soit informer les employés que vous allez lancer un test d'hameçonnage, en expliquant quels sont vos objectifs et ce que vous espérez obtenir, soit lancer un test d'hameçonnage surprise sans aucune formation préalable.
Cette décision appartient entièrement à votre organisation, bien que cette dernière offre l'image la plus claire de la vulnérabilité de votre personnel aux attaques de phishing dans le monde réel. Une fois que vous aurez enregistré votre base de référence, vous pourrez utiliser ces résultats comme point de repère pour évaluer l'efficacité des futurs tests de simulation de phishing.
Planifiez votretest d'hameçonnage
Une fois que vous avez établi une base de référence, vous pouvez commencer à planifier votre campagne de phishing pour l'année à venir. À ce stade, les employés doivent être informés et formés sur la façon d'identifier un courriel suspect et sur ce qu'ils doivent faire s'ils en reçoivent un.
Pour toute campagne de hameçonnage, il est préférable de commencer petit à petit. Vos premiers tests de phishing doivent être relativement faciles à détecter et inclure les signes classiques d'un e-mail de phishing, tels qu'un message d'accueil générique, des fautes d'orthographe et une mauvaise grammaire.
Toutefois, à mesure que votre campagne progresse, le niveau de difficulté doit augmenter pour refléter les attaques réelles qui pourraient être utilisées pour cibler votre personnel.
Étalez la diffusion dutest d'hameçonnage
Le timing est la clé du succès de votre test de phishing. Une erreur fréquente consiste à envoyer un test de phishing général à toute l'organisation en même temps. Cela ne fait qu'éveiller les soupçons et les membres du personnel qui ont identifié l'e-mail comme étant un phishing commenceront à alerter leurs collègues.
Si vous ne voulez pas vous retrouver avec des résultats faussés, vous devriez échelonner votre test de phishing sur différents créneaux horaires afin de garantir un rapport plus précis.
Faites participer les cadres supérieurs auxtests de hameçonnage
Tous les utilisateurs sont susceptibles de subir des attaques de phishing, mais certains employés présentent un profil de risque plus élevé que d'autres. Les PDG, les directeurs financiers et les cadres supérieurs font partie des cibles de phishing les plus populaires en raison de leur accès de haut niveau à des informations d'entreprise précieuses.
Il est essentiel que ces membres du personnel soient inclus dans tous les tests de phishing, non seulement du point de vue du risque, mais aussi pour montrer aux autres employés qu'ils prennent la cybersécurité au sérieux.
Utilisez une variété de méthodes
Les tests de simulation de phishing doivent refléter fidèlement les différentes menaces auxquelles vos employés sont confrontés au quotidien. Les cybercriminels deviennent de plus en plus sournois dans leurs méthodes d'attaque, et vos tests de phishing doivent donc en tenir compte. Alors que de nombreux employés seront sur leurs gardes contre les attaques externes, ils peuvent être plus complaisants avec les e-mails qui semblent provenir de l'intérieur de l'organisation.
Des courriels pourraient être envoyés en se faisant passer pour le service des RH afin d'informer le personnel sur les indemnités de congés payés ou les salaires. En mélangeant les styles et les techniques de votre test, vous obtiendrez une meilleure compréhension de la sensibilisation des employés.
Analyser les données
Les données produites par vos tests de phishing sont cruciales pour savoir si votre campagne a été un succès. Elles vous aideront à identifier les tendances, les employés vulnérables, les besoins en formation et à planifier les futurs tests de phishing.
Vos rapports doivent analyser :
- Nombre de personnes qui ont cliqué.
- Nombre de personnes ayant soumis des informations sensibles.
- Nombre de personnes qui ont signalé l'email de phishing.
Au fil du temps, vous devriez constater une diminution des deux premières catégories et une augmentation des signalements. Les employés qui ont cliqué sur l'e-mail de phishing et/ou soumis des informations sensibles devraient recevoir une formation supplémentaire pour améliorer les comportements de sécurité.
Le personnel doit comprendre les conséquences réelles d'une attaque de phishing et pourquoi il est si important qu'il puisse identifier efficacement un phish suspect. Il ne s'agit pas d'attraper les gens, mais de mesurer la sensibilisation et d'identifier les domaines qui pourraient être améliorés.
De même, il convient de féliciter les employés qui ont fait preuve de bons comportements en matière de sécurité, en identifiant les courriels de phishing et en les signalant au personnel informatique.
Introduire laformation au hameçonnage dans le cadre d'un programme plus large desensibilisation à la cybersécurité
Pour être vraiment efficaces, les tests de phishing doivent être introduits dans le cadre d'un programme plus large de sensibilisation à la cybersécurité. C'est la meilleure façon d'éduquer le personnel, d'améliorer les comportements de sécurité et de créer une main-d'œuvre plus résistante à la cybercriminalité. Vous pouvez choisir des sujets qui répondent aux risques de votre organisation et utiliser une approche mixte pour impliquer le personnel et le sensibiliser.
En plus de vos tests d'hameçonnage, des formations en ligne ciblées, des blogs, des affiches et des infographies peuvent tous être utilisés pour renforcer les messages clés.
Réflexions finales
Une fois que vous avez mis en place votre programme de sensibilisation au phishing, il est important de maintenir l'élan. La création d'une culture de la sensibilisation prend du temps et ne peut être réalisée par un exercice annuel ponctuel.
Des tests de phishing réguliers permettront d'accroître la vigilance des employés, d'améliorer la prise de conscience et d'identifier toute zone de faiblesse qui pourrait représenter un risque pour la sécurité de votre organisation.
