Blogs & actualité

La simulation de phishing comme outil de changement de comportement. Les choses à faire et à ne pas faire.

La simulation de phishing vous donne, en tant qu'organisation, un aperçu de la vulnérabilité au phishing (alerte spoiler : vous courez un risque). De plus, c'est un outil parfait pour sensibiliser, garder les employés alertes et les rendre plus résistants aux attaques de phishing. Bravo bien sûr ! En même temps, il est important que vous mainteniez le soutien de vos employés et qu'ils comprennent et encouragent vos efforts de sensibilisation à la sécurité.

Si vous utilisez votre simulation de phishing de la mauvaise manière, cela peut avoir un effet contre-productif. Les employés se sentent alors trompés ou ne sont pas pris au sérieux, ce qui signifie que vous perdez votre soutien. Malgré toutes les bonnes intentions, il existe de nombreux exemples d'organisations qui ont complètement raté le coche avec une simulation de phishing. Heureusement, dans de nombreux autres cas, cela se passe bien.

Pour vous aider à utiliser la simulation de phishing comme outil stratégique, nous avons répertorié cinq choses à faire et cinq à ne pas faire.

15 mar Picture of a woman typing on a laptop

À faire pour une campagne de phishing réussie

1. Un e-mail fort en début de campagne

Au début de la campagne de phishing, vous souhaitez donner aux employés un "effet de choc". En utilisant un e-mail fort, vous démontrez la nécessité d'un programme de sensibilisation à la sécurité et vous créez un soutien parmi les employés. De plus, en tant qu'organisation, vous souhaitez une représentation précise de l'état actuel des choses. Ne commencez pas avec un e- mail de harponnage difficile au-dessus de la moyenne sur lequel les gens sont presque assurés de cliquer, et ne choisissez certainement pas l'e-mail le plus simple que tout le monde reconnaît. Le meilleur courrier est quelque part au milieu.

2. Annoncez la campagne de phishing

Au début d'un processus de sensibilisation à la sécurité, annoncez que des simulations de phishing sont régulièrement effectuées et pourquoi il est important pour l'organisation de le faire. De cette façon, tout le monde sait à quoi s'attendre. De plus, personne ne veut échouer et les gens évalueront donc les e-mails de manière plus critique. Après tout, il pourrait s'agir simplement d'un e-mail de phishing. En conséquence, vous atteignez déjà partiellement le résultat souhaité : un degré de vigilance plus élevé.

3. La simulation d'hameçonnage comme opportunité d'apprentissage

Demandez-vous quelle valeur a la simulation de phishing si vous ne l'utilisez que comme instrument de mesure. Pour que la simulation de phishing soit un outil précieux de sensibilisation, les employés doivent en tirer des enseignements. Montrez aux employés qui ont cliqué sur une page de destination des conseils sur la façon de repérer le phishing et réitérez l'importance d'accorder une attention particulière au sujet.

> Des conseils pour reconnaître le phishing sont disponibles ici.

4. Récompensez les employés en cas de signalement d'hameçonnage

Lorsque les employés jettent un regard plus critique sur les e-mails entrants, le service d'assistance ou le service informatique peut être régulièrement inondé de signalements de phishing. Assurez-vous qu'ils ne disparaissent pas immédiatement dans la corbeille, mais envoyez un remerciement pour la notification. L'envoi d'un message de remerciement garantit que les employés se sentent entendus et qu'ils le font pour quelque chose, à savoir contribuer à un environnement de travail sûr. Et imaginez qu'un vrai mail de phishing passe entre les simulations…

5. Communiquez les résultats

La transparence est essentielle pour créer et maintenir le soutien parmi les employés. Par conséquent, donnez aux employés des mises à jour régulières sur les résultats obtenus et sur ce à quoi ils peuvent s'attendre en termes d'étapes de suivi au cours de la période à venir. Remarque : partagez les résultats de manière anonyme. Ne mentionnez donc pas les noms des employés qui ont cliqué.

A ne pas faire pour éviter les déceptions

1. E-mails de phishing contraires à l'éthique

Atteindre le taux de clics le plus élevé possible ne devrait pas être l'objectif d'une simulation de phishing. Il est très facile de créer un e-mail de spear phishing avec beaucoup de choses spécifiques à l'organisation sur lesquelles les gens sont presque assurés de cliquer. Vous devez donner aux employés la possibilité de reconnaître qu'il s'agit d'hameçonnage. Nous vous recommandons de garder les e-mails de phishing aussi généraux que possible. Bien sûr, vous pouvez occasionnellement envoyer une simulation de spear phishing, mais laissez ensuite une partie externe inventer ces e-mails.

Il est également préférable d'éviter les sujets pouvant toucher des cordes sensibles. Par conséquent, évitez de vous occuper des trucs vraiment sales que les criminels utilisent pour toute formation supplémentaire. " Mais c'est comme ça que font les criminels, n'est-ce pas ? ! " En effet, mais il existe de nombreuses façons d'impressionner les employés sans les contrarier. Avec une telle approche, vous allez à l'encontre de l'objectif - qui est de les sensibiliser et de les garder alertes - et il y a de fortes chances que les employés résistent davantage d'efforts pour créer une sensibilisation à la sécurité.

2. N'embarrassez pas les employés

Il est trop facile de blâmer les employés qui cliquent pour tout. Vous devez encourager les employés au sein de l'organisation à demander de l'aide. Ne donnez pas aux employés qui cliquent l'impression d'être des ratés en les surchargeant de formation supplémentaire (de punition). En les punissant, vous perdez du soutien et vous courez le risque que les employés se taisent à l'avenir en cas d'incidents (potentiels), par peur des conséquences.

3. Phishing une fois ou phishing trop souvent

Une simulation d'hameçonnage unique est un excellent outil pour démontrer la nécessité d'un programme de formation et pour mettre la sensibilisation à la sécurité à l'ordre du jour du conseil. Cependant, les employés n'en tireront que peu d'enseignements. En un rien de temps, tout le monde a oublié la simulation et la vigilance est revenue à l'ancien niveau. N'hameçonnez pas trop souvent non plus. Le phishing vous met trop souvent dans la zone d'irritation des employés. Assurez un bon équilibre dans la fréquence des simulations de phishing. Nous conseillons à nos clients d'envoyer une simulation une fois tous les deux mois.

4. Ne soyez pas aveuglé par les taux de clics

Une simulation de phishing est une excellente méthode pour mesurer l'état actuel des choses, mais elle n'est pas étanche à 100 %. Par exemple, les personnes qui n'ont pas cliqué peuvent être absentes du bureau ou n'ont tout simplement pas vu l'e-mail. Le facteur chance joue toujours un rôle dans les simulations de phishing. Ne soyez donc pas aveuglé par les pourcentages de clics et surveillez donc également le nombre de rapports reçus par le service desk ou l'informatique. Constatez-vous une augmentation du nombre de notifications au fil du temps ? Alors vous savez que la campagne de phishing et le reste du programme ont un effet.

5. Simulation d'hameçonnage sans formation supplémentaire

Les employés ont besoin de connaissances de base pour reconnaître le phishing. Le niveau de sensibilisation au phishing doit également être maintenu grâce à une approche périodique. Une bonne campagne de phishing va donc au-delà de la simulation. Offrez également une formation sur le sujet et utilisez différents angles pour garder l'attention et l'intérêt des employés. Prenons par exemple une formation de base qui alterne avec des jeux et des tests de connaissances.

Simulation d'hameçonnage Awaretrain

Nous proposons différentes options de simulation de phishing au sein de votre organisation. Nous pouvons gérer la campagne pour vous, mais vous pouvez également utiliser notre plateforme de formation et de phishing en libre-service. Cela vous permet de garder un contrôle total sur les campagnes de phishing et de formation.

N'hésitez surtout pas à nous contacter pour discuter des possibilités.

Essayez notre plateforme de phishing gratuitement pendant 28 jours

Plus d'informations sur l'utilisation gratuite de notre plateforme de phishing ou demander votre accès gratuit ? Vous pouvez le faire via le bouton ci-dessous.

Lancez le hameçonnage !

+33 (0)1 44 04 01 73 info@awaretrain.fr

Restez informé et suivez-nous sur LinkedIn

Suivez-nous !

Lire la suite

Découvrez nos autres blogs et articles d'actualité.

09 jan
Hameçonnage : Le fossé entre les connaissances et le comportement Plus d'infos
5 étapes vers une culture de reporting sécurisée 14 nov
5 étapes vers une culture de reporting sécurisée pour une meilleure sécurité des données Plus d'infos
De la sensibilisation à la culture de la sécurité. 10 oct
De la sensibilisation à un environnement de travail cyber sécurisé et à une culture de la sécurité. Plus d'infos
Voir tous les blogs