Cet article est également disponible en : Anglais

Comment réaliser un test de hameçonnage efficace sur le lieu de travail

Cet article est également disponible en : Anglais

La mise en place d’un test de hameçonnage efficace sur le lieu de travail peut faire la différence entre un employé qui clique sur des liens ou des pièces jointes malveillants et un autre qui les signale.

En fait, selon une étude menée par le Ponemon Institute, les simulations de hameçonnage en temps réel ont permis de doubler les taux de rétention de la sensibilisation des employés et d’obtenir un RSI de près de 40 % par rapport aux méthodes plus conventionnelles de formation à la cybersécurité.

Cependant, transformer le maillon le plus faible de votre organisation en matière de cybersécurité, à savoir ses employés, en un point fort n’est pas facile et ne se fait pas du jour au lendemain. Vous devrez faire preuve de patience, de persévérance et d’une volonté d’enseigner, et non de dénoncer. Un test de hameçonnage (ou une simulation de hameçonnage) est un excellent moyen d’accroître l’engagement des employés à l’égard des initiatives de sécurité et de leur faire vivre un scénario tangible et réel afin d’améliorer leur comportement en matière de sécurité.

Qu’est-ce qu’un test de hameçonnage ?

Un test de hameçonnage est utilisé par les professionnels de la sécurité et de l’informatique pour simuler des e-mails et des pages Web de hameçonnage qui sont ensuite envoyés aux employés. Ces fausses attaques permettent aux employés de comprendre les différentes formes que peut prendre une attaque de hameçonnage, de reconnaître ses caractéristiques et d’éviter de cliquer sur des liens malveillants ou de divulguer des données sensibles dans des formulaires malveillants.

Pour les professionnels de l’informatique et de la sécurité, un test de hameçonnage permet de sensibiliser les employés à la cybersécurité dans un environnement pertinent et contrôlé. De plus, dans la mesure où les tests de hameçonnage sont contrôlés, les services informatiques peuvent établir une mesure de référence, ici le pourcentage de l’organisation qui a été hameçonné, et travailler avec les employés pour la résorber au fil du temps.

Les employés acquièrent une expérience réelle sans aucun risque. Ils ont également la possibilité d’améliorer leur comportement en matière de sécurité de manière significative, avec un retour d’information du service informatique lorsque cela est nécessaire.

Dans ce petit guide, nous allons passer en revue ce que vous pouvez faire avant et après un test de hameçonnage pour garantir une participation et une efficacité maximales.

Que faire avant un test de hameçonnage

Tout d’abord, vous devez trouver un outil de test de hameçonnage qui vous aidera à atteindre vos objectifs.

En fonction de votre budget, de votre expérience et de votre niveau de confiance, il existe un certain nombre d’outils de hameçonnage, gratuits ou payants, qui sont adaptés à vos besoins.

Une fois que vous avez choisi un outil de test de hameçonnage, vous pouvez commencer à planifier.

Formez et notifiez les employés

Le but d’un test de hameçonnage est d’éduquer les employés afin qu’ils puissent repérer et éviter les e-mails de hameçonnage à l’avenir. Essayer de les prendre en défaut sans les former et les informer à l’avance placerait le service informatique dans une situation conflictuelle qui vous empêcherait d’atteindre vos objectifs de sensibilisation des employés à la sécurité. La formation et la notification constituent une première étape importante, car elles montrent que votre test n’est pas juste un piège pour les employés négligents.

Présentez une brève formation pour définir ce qui est ou n’est pas un e-mail de hameçonnage, ou donner quelques conseils sur ce dont il faut se méfier (par exemple, examiner l’adresse « de », les demandes urgentes qui nécessitent un transfert d’argent, et plus encore), puis informez les employés que vous allez effectuer des tests de hameçonnage pour les préparer à une attaque dans un cadre contrôlé.

Vous devrez également créer une adresse e-mail spécifique à l’entreprise (p. ex., phishing@yourcompany.com) et demander à vos employés de transmettre les e-mails suspects à cette adresse pour examen par le service informatique. Par ailleurs, vous pouvez télécharger un bouton de signalement du hameçonnage à intégrer dans la boîte de réception de chaque employé.

Il est souhaitable d’encourager une communication ouverte lorsque les employés découvrent des e-mails douteux. S’ils craignent que cela n’affecte d’autres employés, ils doivent publier un avertissement en utilisant les outils de communication de l’entreprise (p. ex., Slack).

Après la formation, les employés se sentiront plus à l’aise s’ils peuvent simplement effacer les e-mails douteux ou les signaler directement au service informatique sans trop perturber leur travail quotidien.

Engagez les services ou les gestionnaires concernés

Le hameçonnage est à lui seul un outil puissant pour les pirates. Toutefois, le hameçonnage combiné à l’ingénierie sociale est l’outil d’extraction ultime. Le terme « ingénierie sociale » est un euphémisme qui signifie grosso modo qu’il faut tromper ou manipuler le public en exploitant son contexte social, et c’est exactement ce que les vrais pirates tenteront de faire.

Les utilisateurs font confiance à ce qui leur est familier. Par conséquent, si un pirate peut adapter un e-mail de phishing à une cible spécifique en utilisant des noms, des entreprises, des dates ou des sites Web connus, la probabilité que la cible soit hameçonnée est d’autant plus grande. Cela signifie que lorsque vous effectuez votre test de hameçonnage, vous devez envoyer des e-mails à des personnes ou à des groupes de personnes spécifiques lors de chaque test, en utilisant des tactiques d’ingénierie sociale pour mesurer réellement leur capacité à résister à un e-mail malveillant.

Utilisez l’ingénierie sociale pour mesurer la capacité réelle des employés à repérer un e-mail malveillant.

Imaginez que vous receviez un e-mail vous demandant vos identifiants de serveur de la part d’une personne dont vous n’avez jamais entendu parler. Imaginez maintenant que vous receviez ce même e-mail de votre PDG. Le deuxième e-mail a plus de chances de susciter une réponse, non ?

Créez un alias de hameçonnage et déployez un bouton de signalement intégré

Au cours de votre formation, vous pouvez alerter les employés sur une adresse e-mail spécifique de l’entreprise (ex. phishing@yourcompany.com) pour qu’ils transmettent les e-mails suspects afin que le service informatique puisse les examiner. Vous pourrez aussi télécharger un bouton de signalement du hameçonnage qui sera intégré dans la boîte de réception de chaque employé.

Il est souhaitable d’encourager une communication ouverte lorsque les employés découvrent des e-mails douteux. S’ils craignent que cela n’affecte d’autres employés, ils doivent publier un avertissement en utilisant les outils de communication de l’entreprise (p. ex., Slack).

Les employés se sentiront plus à l’aise lors de la formation s’ils savent qu’ils peuvent facilement effacer les e-mails douteux ou les signaler directement au service informatique sans trop chercher à savoir ce qui se passe.

Planifiez un test de hameçonnage

Il existe quelques règles à respecter pour que votre test de hameçonnage soit le plus efficace possible et améliore le comportement des employés en matière de cybersécurité à long terme.

Timing

Un test doit être élaboré sous la forme d’une série de simulations de hameçonnage, ou campagne, diffusée chaque mois ou chaque trimestre. C’est la seule façon de mesurer le succès et l’amélioration.

La difficulté de votre campagne doit être progressive, votre premier test doit être suffisamment simple à identifier. Ensuite, essayez différents angles et différents niveaux de subtilité dans vos tests, comme indiqué dans la section suivante.   Les employés doivent être capables de ramper avant de marcher !

Utilisez différentes méthodes de hameçonnage

Utilisez différentes méthodes de hameçonnage pour donner aux employés de multiples occasions d’apprendre et les inciter à rester vigilants. Si le premier e-mail doit être un modèle de hameçonnage de base, les e-mails suivants doivent utiliser des tactiques d’ingénierie sociale et des stratagèmes plus sournois pour tromper les employés comme le ferait un pirate informatique.

Identifiez des employés ou des groupes spécifiques à cibler au sein de l’organisation au moyen d’e-mails qu’ils reçoivent normalement, par exemple, un e-mail des RH utilisant le responsable des RH comme émetteur. Vous pouvez par exemple leur demander de changer leur mot de passe pour le profil de leur logiciel de paie RH.

(Rappelez-vous : 1. Vous voulez qu’ils croient que c’est réel ! 2. Si vous utilisez l’adresse e-mail du Directeur des RH dans un test de hameçonnage, il doit en être informé à l’avance).

Impliquez les cadres supérieurs et les dirigeants

Vous devez impérativement inclure les cadres supérieurs et les dirigeants dans votre test de hameçonnage. Ils sont les gardiens des actifs les plus précieux de votre entreprise et sont donc les plus susceptibles d’être ciblés par les pirates informatiques.

Impliquez les cadres supérieurs et les dirigeants dans votre test de hameçonnage. Ce sont les garants des actifs les plus précieux de votre entreprise et ce sont eux qui seront les plus ciblés.

Outre le fait qu’ils sont des cibles privilégiées, les autres employés doivent savoir que leurs dirigeants participent à la formation. Cela renforcera l’engagement des employés et donnera à l’équipe une motivation supplémentaire pour améliorer ses résultats.

Que faire après un test de hameçonnage

Le premier test de votre campagne de hameçonnage a été envoyé. Que faire maintenant ?

Le but étant d’améliorer la sensibilisation des employés à la cybersécurité, votre travail ne fait que commencer. Établissez une mesure de référence, récompensez les personnes les plus performantes, éduquez celles qui le sont moins et commencez à planifier votre prochain test !

Les rapports sont essentiels

Vous devez mesurer trois indicateurs clés :

  1. Les taux de clics sur les liens
  2. Le nombre d’employés qui divulguent des données sensibles (en fournissant la combinaison utilisateur/mot de passe)
  3. Le nombre d’employés qui ont signalé un e-mail de hameçonnage

Au fil du temps, vous voulez que les deux premiers indicateurs baissent et que le nombre de personnes qui signalent un e-mail de hameçonnage augmente. La seule façon de montrer les progrès réalisés consiste à faire le point sur ces indicateurs après chaque test. Vous devez partager les résultats avec le reste de l’organisation, sans toutefois isoler un individu ou un groupe. Tous les résultats doivent être agrégés !

Les résultats à l’échelle de l’organisation doivent être agrégés. La seule façon d’aider les individus et les équipes à s’améliorer est de leur montrer (dans un cadre calme et privé) ce qu’ils ont fait de mal (ou de bien) afin qu’ils puissent réussir lors de la prochaine simulation.

Récompensez les personnes les plus performantes

Un individu ou un groupe a obtenu d’excellents résultats ? Faites-le leur savoir !

Vous pouvez écrire des e-mails aux personnes ayant obtenu de bons résultats (ceux qui n’ont pas cliqué sur un lien, qui n’ont pas divulgué de données sensibles, et qui ont signalé l’e-mail au service informatique) et leur faire savoir qu’elles font un excellent travail pour protéger l’entreprise des cybercriminels. Vous pouvez également envoyer un e-mail à des services entiers si leurs résultats sont les meilleurs de l’organisation.

Vous voulez franchir un nouveau palier ? Créez un concours entre les services, de sorte que le service « gagnant » (taux de clics le plus bas et taux de signalement du hameçonnage le plus élevé) remporte un déjeuner ou un dîner payé par l’entreprise à la fin de chaque trimestre.

Proposez une formation supplémentaire aux personnes moins performantes

Il s’agit probablement de la partie la plus importante de tout test de hameçonnage, à savoir aider les personnes moins performantes.

Qu’il s’agisse du PDG ou d’un stagiaire, vous n’avez aucune raison d’être impoli ou condescendant lorsque vous vous adressez à un employé au sujet de ses mauvais résultats à un test de hameçonnage.

Si vous voulez que vos employés se sentent à l’aise pour vous parler de leurs difficultés en matière de cybersécurité, vous devez faire en sorte qu’ils choisissent toujours de vous vous signaler une situation douteuse plutôt que d’essayer de la résoudre par eux-mêmes. Ils le feront uniquement s’ils savent que vous les respectez et que vous appréciez leurs efforts.

Dans le cas d’une première infraction, vous pouvez vous contenter d’envoyer un e-mail pour signaler que vous avez commis une erreur lors du test de hameçonnage. Vous devez réaffirmer l’importance de la cybersécurité et fournir du matériel de formation supplémentaire sur la façon de repérer un e-mail de hameçonnage. Faites-leur savoir que d’autres tests de hameçonnage sont prévus et qu’ils auront l’occasion de réussir s’ils sont vigilants ! Veillez également à mentionner le bouton « signaler le hameçonnage » ou l’adresse e-mail phishing@yourcompany.com que vous avez créée.

Réaffirmez l’importance de la cybersécurité et proposez des supports de formation supplémentaires sur la manière de repérer un e-mail de hameçonnage.

Si vous entretenez des rapports personnels avec des employés moins performants, vous pouvez également vous adresser à eux individuellement.

Lorsque des individus, ou des groupes d’individus, ont des difficultés persistantes à repérer les e-mails de hameçonnage, vous devez intervenir de manière plus proactive. Il est peut-être nécessaire de donner à certaines personnes ou à certains groupes un petit tutoriel sur le repérage des e-mails de hameçonnage, y compris des exemples connus et des cas similaires survenus dans d’autres entreprises. Il est vraiment important qu’ils reconnaissent la légitimité de la menace et la probabilité qu’ils reçoivent un jour un véritable e-mail de hameçonnage.

Étapes suivantes

Si vous suivez les conseils donnés ici, vous aurez jeté les bases d’un programme fructueux et enrichissant qui contribuera à limiter la surface d’attaque de votre organisation et à protéger vos employés contre les attaques extérieures malveillantes.

Quelle est la prochaine étape ? Vous l’avez deviné, commencez à vous préparer pour votre prochain test de hameçonnage !

À la fin de chaque trimestre ou de chaque année, préparez un bref récapitulatif que vous pourrez montrer aux dirigeants et à l’ensemble de l’équipe afin d’encourager une amélioration continue. La sensibilisation au hameçonnage et la poursuite des tests sont nécessaires à mesure que votre entreprise se développe et que les méthodes de hameçonnage évoluent.

La sensibilisation au hameçonnage et la poursuite des tests sont nécessaires à mesure que votre entreprise se développe et que les méthodes de hameçonnage évoluent.

La première étape pour résoudre un problème consiste à comprendre qu’il existe. Vous avez fait le premier pas vers la protection de votre organisation. Nous espérons que ce guide vous aidera à sensibiliser vos employés à la cybersécurité, afin que vous puissiez avoir l’esprit tranquille en sachant qu’ils ne se laisseront pas abuser et ne cliqueront pas sur le prochain lien de hameçonnage qui apparaîtra dans leur boîte de réception.

Que vous commenciez tout juste à adopter une meilleure cybersécurité ou que vous élaboriez un plan complet, découvrez dès aujourd’hui comment vous pouvez améliorer la sécurité de votre entreprise grâce à une solution simple. Téléchargez notre ressource gratuite, Gestionnaire de mots de passe et cybersécurité : le guide pratique (en anglais), pour commencer.