top of page
Photo du rédacteurTimoléon

8 astuces pour réussir vos sensibilisations au phishing

Dernière mise à jour : 24 sept. 2024


Image titre de poissons pour symboliser le phishing

C'est La sensibilisation n°1 dans toutes les entreprises !

 

La grande majorité des personnes que je rencontre me dit qu'une de leur priorité en sensibilisation consiste à faire des campagnes de phishing car c'est un gros risque pour leur entreprise.

 

Elles n'ont pas tord.

 

Difficile d'avoir une véritable statistique tant les études peuvent diverger sur le sujet mais il est indéniable que la porte d'entrée numéro 1 pour les attaquants reste la boîte mail des utilisateurs. Et la clef n'est tout simplement que l'ingénierie sociale.

 

Une sensibilisation au phishing pour lutter contre 2 grands risques

 

Pour les attaquants, le phishing au sens large, c'est du bain béni !

 

En effet, c'est à la fois extrêmement peu coûteux et avec un simple message on peut potentiellement obtenir 2 gains :

  1. Le téléchargement d'un bon petit paquet cadeau pour initier une attaque ou chiffrer directement le poste, voire le reste du SI et demander une rançon

  2. L'obtention du login et du beau mot de passe de l'utilisateur qui permettent par la suite de se connecter au SI de l'entreprise et de voler des données où de continuer son attaque si on cherche un plus gros poisson.

 

Dans cet article, j'utiliserai le mot générique de phishing, le plus usuel qui consiste à tendre un piège par e-mail. Mais je n'oublie pas (et vous ne devez pas oublier !) ses variantes officielles qui sont :

  • Le smishing : le faux SMS avec son URL malveillante

  • Le vishing : le faux appel audio

  • Le quishing : le faux QR code qui renvoie sur une URL malveillante

et les variantes officieuses... car les noms viennent de moi :

  • Le Whatsappshing : idem que le faux SMS mais plus redoutable avec la possibilité de mettre une fausse vraie photo (ou une vraie fausse photo ?)

  • Le Teamsshing ou le Slackshing : le faux message sur le réseau social de l'entreprise

 

Attention, le brushing qui n'est pas qu'une coupe de cheveux est une autre technique d'arnaque qui ne rentre pas dans notre catégorie. Elle consiste juste à doper ses commentaires en ligne avec des faux achats.

 

Toutes les sociétés sont concernées : des multinationales aux indépendants. Des plus riches aux plus modestes. Car le phishing est une attaque qui se réalise comme son homonyme anglais :

  1. En mode ciblé en attendant gentiment derrière sa ligne que le poisson morde

  2. En mode pêche industrielle avec un bon chalutier et un gros filet qui ramasse tout ce qui traine

Si vous cherchez des indicateurs illustrant l'importance du phishing, vous pouvez en trouver sur cette page avec d'autres indicateurs de cybersécurité Profitez des derniers rapports pour alimenter vos sensibilisations d'indicateurs (jesensibilise.com)

 

Optimisez vos sensibilisations au phishing grâce à ces 8 astuces pour faire diminuer drastiquement les risques pour votre entreprise

 

Astuce 1️⃣ : La sensibilisation c'est bien mais il ne faut pas tout miser dessus !

 

Que je sois bien clair : la sensibilisation est un outil parmi d'autres pour vous protéger mais seule elle ne pourra pas faire grand chose pour vous.

 

Cela doit impérativement n'être qu'un complément aux mesures de protection que vous devez mettre en place.

 

Vous ne pouvez pas miser que sur vos collaborateurs pour protéger votre entreprise et surtout leur reprocher si jamais ils se font avoir !

 

Au delà des bonnes pratiques classiques de sécurité, la sensibilisation au phishing doit rester la double ceinture de sécurité (ou la bretelle si vous préférez) de ces 3 mesures :

  • L'installation d'un EDR (Endpoint Detection and Response) sur les postes de travail (ou à minima un antivirus... mais dont la portée reste très limitée)

  • L'utilisation d'une solution de protection de la messagerie qui analyse vos e-mails et vous écrème une (très) grande partie des malveillants

  • La mise en œuvre de la double authentification (MFA) pour limiter l'impact du vol d'identifiant

 

Certes ces mesures ont un coût, mais si vous pouvez pas les mettre en œuvre, soyez encore plus indulgents avec vos utilisateurs car vous leur mettez sur les épaules une très grande responsabilité !

 

Comme toute bonne mesure technique, elles ne sont pas infaillibles (e-mails non détectés, MFA contourné...). Pour tendre progressivement vers le risque zéro alors la sensibilisation est obligatoire !

 

Astuce 2️⃣ : Commencez par prendre la mesure

 

Si vous n'avez pas encore réalisé de campagne de phishing, commencez par un petit test pour prendre la température.

 

Votre seul objectif est de mesurer d'où vous partez et repérer les populations qui auront le plus besoin de sensibilisation.

 

Ne démissionnez pas tout de suite si vous dépassez les 50% des personnes piégées ! C'est normal vous n'avez encore mené aucune action.

 

Et surtout ne commencez pas à dénoncer ou à blâmer vos victimes sinon vous risquez de vous prendre de sacrés mécontentements en retour !

 

Ce premier exercice vous permettra par la suite d'illustrer vos actions de formation.

 

Astuce 3️⃣ : Formez vos utilisateurs

 

Un premier test comme on a pu le voir permet d'accrocher l'attention de vos utilisateurs. Mais il faut prévoir dans la foulée une action de formation qui va leur permettre de comprendre :

  • Les risques du phishing pour l'entreprise

  • Les mesures que vous avez mises en œuvre et pourquoi vous avez tout de même besoin de leur vigilance

  • Les quelques conseils pour se méfier voire repérer les faux messages (sujet d'urgence ou de gain, mail non sollicité, adresse ou URL étrange...)

  • Ce que vous attendez d'eux : alerter en remontant le mail via une adresse mail (si possible simple à retenir s'il vous plaît !) ou un bouton (ce qui est beaucoup plus pratique surtout pour vous pour automatiser le traitement)

  • Qu'ils peuvent vous dire s'ils se sont fait avoir par une vraie attaque. C'est important de décomplexer les utilisateurs et de leur faire comprendre que l'erreur est humaine, qu'ils ont droit de se faire avoir mais que l'important est de le reporter pour mener les bonnes actions derrière

 

Cette formation est importante.

 

Que vous choisissiez le mode présentiel ou le digital learning, il est important de mettre en place les bonnes explications.

 

Pensez bien à vos populations les moins à l'aise avec les outils numériques :

  • Travaillez bien votre vocabulaire pour qu'il ne soit pas trop technique

  • Favorisez la formation avec un contact humain pour répondre aux interrogations et réexpliquer avec d'autres mots au besoin

 

Certaines plateformes de sensibilisation ou de phishing vous proposent des contenus tout faits et qui s'adaptent à vos utilisateurs comme on le verra plus tard dans cet article.

 

Les affiches, vidéos ou e-mails sont aussi intéressants pour initier ou rappeler les bonnes pratiques. Mais ces supports ne sont pas là pour former.

 

Astuce 4️⃣ : Planifiez et organisez vos exercices de phishing

 

Alors que votre premier test vous permettait de mesurer d'où vous partiez, vos futurs tests consisteront à évaluer si le comportement de vos utilisateurs change ou non.

 

Et donc si vos actions de sensibilisation au phishing ont été efficaces ou pas !

 

Il est pour cela intéressant de les planifier dans le temps pour vous aider à vous organiser. (ah oui... ça prend un peu de temps tout de même à organiser et surtout à analyser !)

 

Quelle fréquence ? 1 fois par mois ? 1 fois par trimestre ? 1 fois par an ?

 

Question complexe dont la réponse est évidemment : "ça dépend" de plusieurs choses :

  1. Votre capacité à les organiser et à les traiter correctement (notamment sur l'analyse et les feedbacks qu'on verra par la suite). Mieux vaut faire peu de campagnes mais réalisées correctement que d'en lancer tous les mois sans en tirer quelque chose car vous n'avez pas le temps. Votre capacité sera également liée à l'outil que vous aurez choisi. Certains outils permettent d'automatiser beaucoup de choses et donc de proposer des campagnes efficaces plus règulièrement  

  2. Le niveau de vos utilisateurs : si vous avez des résultats plutôt bons, il n'est peut être pas utile de les tester tous les mois au risque de trop banaliser l'exercice et rendre son impact plus limité  

  3. Il est aussi intéressant d'alterner les utilisateurs. En effet, si vous vous souhaitez éviter que votre campagne soit détectée trop rapidement, faîtes des campagnes uniquement sur quelques utilisateurs ou populations ciblées. "-Tu as reçu le mail toi ? - Non - Ah c'est peut être pas un exercice cette fois-ci, je le remonte direct !"

 

Astuce 5️⃣ : Faites des feed backs constructifs à vos utilisateurs

 

Toute action de test dans le cadre d'une formation doit faire l'objet d'un feed back constructif pour que le cerveau de votre utilisateur assimile son apprentissage. Je ne citerai que le neuroscientifique Stanislas Dehaene mais il n'est pas le seul à affirmer cela.

Voici donc une petite liste de feed backs importants selon moi à réaliser en direct ou très peu de temps après :

  1. Bien évidemment lorsque l'utilisateur est tombé dans le panneau et qu'il a téléchargé une pièce jointe ou donné ses identifiants. Il faut derrière qu'il puisse comprendre quels étaient les signes à détecter sur cet e-mail. Cela peut passer par un message ou un petit module de sensibilisation qui se déroule automatiquement dans la foulée.   Attention je déconseille le côté envoyer en formation obligatoire ceux qui se sont fait avoir car cela donne une vraie image de punition à l'outil de formation.  

  2. Lorsque l'utilisateur remonte l'alerte par e-mail ou via le bouton. C'est une action importante qui peut être chronophage si non automatisée, mais il est très important de remercier systématiquement l'utilisateur pour sa bienveillance et son action.   Idem pour tous les e-mails qui vous sont remontés. Qu'il s'agisse de vrais e-mails de phishing, de simples spams ou d'e-mails légitimes, assurez-vous de toujours faire un retour constructif, compréhensible et aimable à vos utilisateurs.   Cela nécessite souvent de travailler la forme avec votre support ou votre SOC, mais mettez-vous un instant dans la situation suivante : auriez-vous envie de continuer à prendre du temps en envoyant des propositions d'améliorations à votre fournisseur si vous n'aviez jamais de retours où qu'on vous répondait avec un vocabulaire peu adapté ?   Et oui, votre SOC doit se mettre dans la peau d'un support commercial s'il souhaite que les utilisateurs continuent de leur remonter ces précieuses informations que vos outils n'ont pas détectées.  

  3. On fait souvent un feedback a celui qui s'est fait prendre. Mais il est important que les autres soient récompensés d'un feedback aussi. Pensez donc à communiquer d'une manière ou d'une autre le résultat global de la campagne. Et ne communiquez pas que sur le taux d'échecs "30% des collaborateurs se sont faits piégés". Un message du type "95% de nos collaborateurs sont vigilants..." permet de valoriser les efforts de chacun.  

  4. Celui qu'on fait rarement, c'est le feedback positif à celui qui change de comportement ! Si un collaborateur tombait dans le panneau sur les premières campagnes et qu'il n'apparaît plus dans les dernières alors c'est un comportement à féliciter par un message de feedback ! Et même si le collaborateur a cliqué sur le lien mais qu'il n'a pas mis ses identifiants comme la dernière fois, cela veut dire qu'il a compris quelque chose de vos actions. Il faut donc le valoriser et l'encourager dans son action pour lui montrer ses progrès !

 

Et oui, ce n'est pas si évident et cela prend du temps... mais cela est nécessaire pour que les comportements changent.

 

Astuce 6️⃣ : Définissez et suivez vos indicateurs

 

N'oubliez pas que votre objectif est de faire changer les comportements. Il est donc important de mettre en place les moyens de mesurer ces changements. Voici donc une liste d'indicateurs intéressants à suivre (ou pas) :

  1. Le taux de lecture de l'e-mail ? Non. En effet ce taux est compliqué à suivre car très peu fiable. Entre les solutions techniques qui analysent les e-mails en amont et les outils qui prévisualisent automatiquement l'e-mail, ce taux de lecture est devenu très peu fiable  

  2. Le taux de clics ? Tout va dépendre de la fiabilité de votre solution. Faites de tests au préalable dans votre environnement pour vous assurer que les clics comptabilités sont réellement ceux des utilisateurs. J'ai déjà personnellement fait l'expérience de résultats absolument pas fiables et de mécontentement d'utilisateurs prêt à vendre leur mère pour garantir qu'ils n'avaient pas cliqué. Ce qui après vérification était vrai. L'indicateur dont il faut donc se méfier le plus.  

  3. Le taux de téléchargement de la pièce jointe : si c'était votre objectif en terme de comportement utilisateur, oui il est très intéressant de mesurer ce taux de téléchargement, ou de clics sur le lien malveillant qui était dans le document à ouvrir (taux bien plus fiable que le lien direct dans l'e-mail)  

  4. Le taux de renseignement de ses identifiants. Certes on n'a jamais la garantie qu'il s'agisse du vrai mot de passe mais il y a tout de même de fortes chances. Donc oui très intéressant à suivre.  

  5. Le taux de récidivistes dans le temps. A mesurer sur plusieurs campagnes tout de même car selon le sujet de votre e-mail ce dernier pourrait être moins attractif ou convainquant et donc vous donner une fausse impression d'amélioration.  

  6. Le taux de personnes ayant suivi votre module de sensibilisation après s'est fait piéger  

  7. Le taux de personnes ayant suivi votre module de sensibilisation après s'être fait piéger mais qui continuent à se faire piéger !  

  8. Le taux de personnes qui ont arrêté de se faire piéger depuis vos premières campagnes. C'est votre taux de fierté...  

  9. Le taux d'alertes remontées lors d'un test de phishing. Et oui vous souhaitez savoir si ce que vous avez demandé à vos utilisateurs est mis en oeuvre  

  10. Le nombre d'alertes remontées sur les autres e-mails. Et encore oui ! C'est surtout en dehors des campagnes de faux phishing que vous souhaitez connaître l'efficacité de votre sensibilisation. Est-ce que vos utilisateurs remontent plus d'e-mails ?  

  11. Le nombre d'incidents recensés (pièces malveillantes détectées par l'EDR, remontées d'utilisateurs s'étant fait piéger...car oui maintenant ils vous le diront car vous les aurez rassurés en formation !)  

Dans votre communication, n'hésitez pas à gamifier vos campagnes de phishing en proposant par exemple un classement des meilleurs départements ce qui boostera la motivation et la vigilance des collaborateurs.

 

Autant les départements les plus risqués est une donnée qui se partage avec votre comité de direction, mais évitez de publier auprès de toute la société le "mur de la honte". Vous risquez surtout de stigmatiser certaines populations et ne pas vous faire que des amis.

 

Astuce 7️⃣ : Adaptez vos campagnes à vos utilisateurs

 

Pour faire bouger vos chiffres, il va falloir adapter vos tests.

 

En effet, il est intéressant de mettre en place de l'adaptive testing qui consiste à augmenter progressivement la complexité des tests en fonction des résultats.

 

Si vous avez un très faible taux de personnes piégés, c'est peut-être que vos e-mails sont trop simples à détecter ou trop génériques.

 

Pour cette partie, pas le choix, il vous faut une plateforme technique spécialisée dans le phishing qui va permettre d'automatiser les envois, la fréquence et le message en fonction du contexte de l'utilisateur

 

Astuce 8️⃣ : Identifiez et allez voir les personnes les plus piégées

 

Vos différentes campagnes et sensibilisations ont permis de réduire le nombre de personnes piégées. Mais vous allez arriver à un seuil qui ne descend plus.

 

Vous aurez beau faire des tests et proposer des formations en ligne, si certaines personnes se font très souvent piéger, il faut changer de méthode. Le numérique n'est pas le moyen qui leur convient pour changer de comportement.

 

Vous ne le saviez pas ? Mais nous n'apprenons pas tous de la même manière.

 

Évidemment pour cela, il faut que vous ayez les noms lors des campagnes de tests, point très important à discuter éventuellement au préalable avec vos RH. Mais sans résultats nominatifs, impossible d'aller jusqu'au bout.

 

C'est avec votre bâton de pèlerin qu'il faut aller à la rencontre de ces irréductibles. Petite visite au bureau, à la machine à café, au téléphone, en visio selon votre taille et votre organisation, il faut prendre le temps de les rencontrer pour comprendre pourquoi ils n'y arrivent pas, les écouter et trouver les bons mots et les bonnes astuces qui leur serviront.

 

Car oui, parmi ces irréductibles, il y a d'honnêtes personnes qui sont juste dépassées par le numérique, ces risques et les biais cognitifs qui jouent contre eux.

 

Par contre, nous sommes d'accord, nous allons arriver à la fin sur la population la plus compliquée : les JeM'enFoutistesAUnPointTuNePeuxPasSavoir! (où on frole très souvent la mauvaise foi)

 

Bon s'il ne vous reste plus que cela, c'est que vous avez déjà fait un sacré bout de chemin ! Bravo !

 

Quelques pistes pour traiter cela :

  • Discuter avec les RH et réfléchir à des solutions individuelles. Si les personnes ne font pas vos formations et mettent en péril la sécurité de l'entreprise à plusieurs reprises, il faut vous appuyer sur ce que vous proposent le règlement intérieur ou les RH et le manager.  

  • L'enjeu financier : certaines sociétés ont intégrés les résultats des tests de phishing dans les objectifs individuels ou collectifs... impactant directement la prime salariale. Bonne ou mauvaise idée, tout dépend du contexte dans lequel vous êtes.  

  • Le renforcement des règles de surveillance sur ces utilisateurs. Vous le savez, ces personnes deviennent vos VRP : Very Risk People. Vous n'arriverez pas à le faire changer, alors augmentez vos règles de surveillance sur leur compte utilisateur ou augmentez votre protection en limitant peut être certaines fonctionnalités (authentification depuis l'étranger, depuis un poste non professionnel..)

 

Astuce 9️⃣ Bonus : La mise en œuvre des petits nudges pour aider vos collaborateurs

 

Ceux qui me suivent savent que j'ai un faible pour les nudges, ces petits coups de pouce, souvent visuels qui peuvent nous aider à faire le bon choix au bon moment.

 

Il y a encore peu de temps, je pensais que cela n'existait pas mais certaines solutions commencent à le proposer.

 

Et si les solutions qui analysaient nos e-mails informaient de manière claire et lisible les quelques doutes qu'elles avaient sur un e-mail qu'elles ont laissé passer, faute d'être sûres de le bloquer ?

 

Il suffit d'ajouter un message coloré sur un e-mail reçu indiquant 1 ou 2 paramètres suspects pour que l'utilisateur sache exactement quoi regarder pour faire son choix éclairé de cliquer ou non.

 

Si ce message est occasionnel, non comme l'inutile "Ce message provient de l'extérieur de l'entreprise" qu'on voit 50 fois par jour, je reste persuadé de son efficacité : Vous avez formé un utilisateur et vous l'accompagnez dans la tâche que vous lui demandez.

 

Les nudges sont pour moi les fonctionnalités les plus attendues des plateformes techniques !

 

Une sensibilisation au phishing comme outil de communication

 

Je pense que vous l'avez vu, faire de ses campagnes de phishing un véritable outil à la conduite de changement nécessite de la préparation et du temps.

 

Gardez bien en tête que cela reste un moyen de sensibilisation mais surtout un outil de communication avec vos utilisateurs !

 

Mal faites, ces campagnes renverront une image négative de votre équipe sécurité et ne changeront pas les comportements. Tout ce que vous ne voulez pas.

 

Alors que bien faites avec tous les conseils donnés, elles deviendront des sujets de conversation entre les collaborateurs (augmentant leur impact) et avec vous, permettant ainsi de présenter aussi vos autres risques et comportements à faire changer.

 

👉Envie de creuser ce sujet ou d'échanger avec vos pairs sur d'autres thématiques de sensibilisation, découvrez la formation "Sensibilisez autrement"

187 vues0 commentaire

Posts récents

Voir tout

コメント


bottom of page