PH webbanner Whitepapers 02

1. Armez vos employés contre le phishing

Le danger derrière le barrage de plus en plus important au phishing

Aucune solution de sécurité ne peut garantir une protection efficace à cent pour cent. C'est logique : les logiciels antivirus et autres protections doivent, par définition, offrir une réponse aux dernières menaces que les pirates inventifs sortent de leurs chapeaux. La sécurité est donc toujours un peu en retard sur les dernières menaces. Toutefois, le plus grand danger ne vient pas toujours des techniques d'attaques ultramodernes ou des fuites de type « zero day ».

En réalité, les pirates informatiques ne sont que des personnes qui cherchent un moyen rapide et facile de gagner de l'argent. Ils recherchent donc le maillon le plus faible de tout système de sécurité : les autres personnes. Ils jettent ensuite leur dévolu sur les endroits où il y a de l'argent : les entreprises.

Le taux d'attaques par hameçonnage a augmenté de 61 % au cours des six mois se terminant en octobre 2022 par rapport à l'année précédente (CNBC).

Une petite erreur, très cher payée

La balle est dans le camp des entreprises : c'est aux entreprises elles-mêmes de former leurs employés et de les sensibiliser aux dangers du phishing. De cette manière, vous obtenez une interaction où, d'une part, les employés coopèrent activement dans un environnement d'entreprise sûr et, d'autre part, les connaissances acquises les protègent contre les fraudeurs dans leur vie privée également.

L'idée n'est pas neuve : au Royaume-Uni, les employés bénéficient d'une formation et d'un soutien en cours d'emploi depuis 2018. La norme minimale de cybersécurité (MCSS) que le pays a mise en oeuvre pour les organisations britanniques exige qu'elles établissent une culture de la cyberconscience.

Et en Europe, la nouvelle directive sur les réseaux et les systèmes d'information (NIS-2) a été récemment acceptée. À partir de 2024, les entreprises et les fournisseurs des secteurs clés devront renforcer considérablement leur cyber-résilience et être en mesure de démontrer qu'ils sensibilisent activement et constamment à la cybersécurité. Les membres de la direction seront même obligés de suivre une formation spécifique de sensibilisation à la sécurité.

Tester, pas harceler

En tant qu'organisation, inutile d’attendre les règles et les obligations des autorités publiques. En plus d’investir dans une infrastructure de sécurité étendue et actualisée, vous pouvez également sensibiliser vos employés aux cybermenaces. Chez Phished, nous sommes spécialisés dans ce domaine. Nous avons déjà lancé des campagnes internes de phishing et dispensé des formations spécialisées à Kinepolis, l’Université d’Anvers, AG Insurance, Studio 100 et Aperam. Ainsi, nous confrontons les employés à des attaques réalistes et nous leur fournissons un contexte, afin qu'ils soient préparés lorsqu'ils se retrouvent face à la réalité.

Dans ce livre blanc, nous mettons en évidence les principales choses à faire et à ne pas faire, que vous pouvez utiliser comme lignes directrices pour un programme de formation réussi pour vos propres employés. Une campagne soignée est inestimable, mais une approche mal pensée peut faire plus de tort que de bien.

Nous pouvons déjà vous révéler une règle d'or : vos employés doivent apprendre quelque chose. Ils ne doivent jamais avoir l'impression d'être harcelés ou pris pour cible, surtout lorsqu'ils ont besoin d'aide. Le but est de les tester, pas de les harceler !

2. Quelle est l'ampleur réelle de votre problème de phishing ?

Mesure de référence pour un effet de choc

Quel est l'état réel de la cyberconscience au sein de votre entreprise ? Pour élaborer un programme de formation efficace, vous devez savoir non seulement où vous voulez aller, mais aussi d'où vous partez. C'est pourquoi la mesure de référence est si importante : c'est le tout premier test auquel vous confrontez vos employés. L'objectif est d'obtenir une vision claire du niveau de connaissances générales.

Divisez le test en deux parties :

Qui se laisse berner et clique sur un lien ?
Qui tombe dans le panneau et saisit ensuite des données sur un site portail malveillant ou télécharge un fichier dangereux ?

How to get started?

Comment commencer ?

Lors d'une première campagne de phishing interne, de nombreuses personnes sont assurées de tomber dans le piège. En moyenne, nous constatons que jusqu'à 50 % des employés se font prendre, même lorsqu'ils savent que quelque chose se prépare. Les gens prennent plus rapidement conscience de l'ampleur du problème lorsqu'ils voient à quelle vitesse le phishing peut les tromper. En communiquant à l'avance sur la simulation de phishing, vous disposez également d'arguments plus solides pour défendre vos projets de programme de formation.

À FAIRE: répéter la simulation quelque temps plus tard et rendre cette nouvelle campagne plus difficile

Faites tout ce que vous pouvez. Choisissez par exemple un e-mail présentant un typosquattage, c'est-à-dire un e-mail dans lequel le nom de l'expéditeur ou le lien utilisé ressemble beaucoup à celui d'une organisation de confiance, à l'exception d'une faute de frappe. Dans ce courriel, vous pouvez utiliser des connaissances internes, avec des références à des choses que seuls les collègues (ou les pirates ayant accès à leur boîte mail) peuvent connaître. Vous remarquerez que malgré ladifficulté accrue, le résultat est meilleur que celui du premier test.

À FAIRE: alerter un collègue que vous allez envoyer un courriel d’hameçonnage censé provenir de son adresse électronique

Cette technique vaut certainement la peine d'être testée, mais veillez à ce que la personne en question ne soit pas prise par surprise. Nous voyons que les gens aiment généralement faire partie de la conspiration. Bien que, bien sûr, vous deviez choisir quelqu'un qui peut garder un secret.

Après les tests, il est temps d'analyser les résultats en profondeur. Où sont les points faibles de votre organisation ? Y a-t-il des équipes ou des départements qui ont besoin d'une formation supplémentaire ? Les gens sont-ils plus nombreux à se faire piéger par des courriels de phishing simulés lorsqu'ils ouvrent le courriel en question sur un téléphone portable ? Avec ce genre de connaissances, vous pouvez prendre des mesures concrètes.

À NE PAS FAIRE: rendre votre première simulation de phishing trop difficile

Choisissez un e-mail simple qui provient prétendument d'un collègue. LinkedIn est une source fantastique pour cela. Ne commencez pas immédiatement par des courriels contenant des références à des connaissances internes de l'entreprise ou à la structure connue de l'entreprise. Une première simulation simple fait déjà suffisamment de victimes et montre immédiatement la nécessité de procéder à d'autres tests.

À NE PAS FAIRE: essayer de persuader les gens de cliquer en leur promettant une récompense ou un bonus

Vous pourriez promettre de l'argent supplémentaire dans votre courriel d'hameçonnage, ce qui inciterait effectivement les gens à cliquer plus rapidement, mais lorsqu'il s'avérera que votre courriel n'était qu'un test d'hameçonnage et que le bonus n'existe pas, vous vous mettrez les gens à dos. Les criminels n'ont pas peur de faire de fausses promesses, mais vous, vous voulez garder vos employés de votre côté. Alors, faites les choses correctement ou préparez-vous à en subir les conséquences.

3. Que voulez-vous atteindre ?

En route vers le 0 % ?

Grâce à la mesure de référence, vous savez où vous en êtes. Il est maintenant temps de déterminer où vous voulez aller avec votre entreprise. La rapidité et l'intensité avec lesquelles vous souhaitez sensibiliser vos employés dépendent de chaque entreprise. En général, les RSSI et les responsables informatiques se fixent comme objectif un taux de clics inférieur à 5 %, qu'ils veulent atteindre au bout d'un an.

Comment choisir le bon objectif ?

À FAIRE : se fixer un objectif réaliste

Personne n'est infaillible, aussi ne vous attendez pas à ce que toute votre organisation soit à zéro pour cent. Ce n'est pas nécessaire : avec une formation approfondie, vous pouvez éviter les pires catastrophes. Si quelqu'un se laisse séduire par un clic inapproprié, grâce à un programme de formation complet, l'ensemble de l'organisation sait exactement comment réagir.

À FAIRE : communiquer de manière transparente sur les résultats de vos campagnes de phishing simulées

Faites savoir combien d'employés se sont fait piéger, mais sachez que tout le monde peut se faire avoir. Même chez Phished, où nous travaillons quotidiennement sur le phishing, les collègues sont encore occasionnellement surpris par nos propres simulations automatisées. Veillez à ce que chacun sache quel est l'objectif, afin que vous puissiez y travailler en tant qu'organisation.

À NE PAS FAIRE : punir les personnes qui cliquent sur un courriel de simulation

La prise de conscience prend du temps et tout le monde n'apprend pas au même rythme. Choisissez une histoire positive mettant l’accent sur le soutien et donnez aux gens le temps dont ils ont besoin pour évoluer.

4. Pas à pas vers une entreprise plus sûre

L'objectif ultime est de rendre votre entreprise plus sûre et d'armer vos employés d'une saine méfiance au sein d'une culture cybersécurisée. Quatre facteurs contribuent à l'épanouissement de vos employés  : la fréquence, la personnalisation, la formation et l'engagement.

4.1 Répéter, répéter et répéter encore

La rapidité avec laquelle le niveau de connaissances au sein de votre entreprise augmente va de pair avec l'intensité de la formation. Ce n'est pas sorcier : plus vous réalisez de simulations de phishing, moins de personnes s'y laisseront prendre d'ici la fin de l'année. Si vous choisissez d'utiliser notre algorithme pour n'envoyer une simulation de phishing qu'une fois tous les 90  jours, vous verrez le pourcentage de phishing tomber à moins de 13  %. En général, les entreprises choisissent une approche plus intensive avec une simulation tous les 15  jours. Et les résultats parlent d’eux-mêmes  : cela vous fait passer sous la barre des 5  %. Avec une simulation tous les 5  jours, vous pouvez même descendre à 1,5 %.

À FAIRE  : planifier des simulations sur une base régulière

Il ne suffit pas de travailler avec une approche ad hoc et de n'envoyer des simulations que lorsque l'on y pense. Vous devez effectuer des tests régulièrement, car la fréquence et les résultats vont de pair. Créer et envoyer ses propres courriels est un processus qui prend du temps, il est donc préférable de choisir un outil qui automatise ce travail.

À NE PAS FAIRE : se limiter à un seul test par an

Nous constatons qu'une simulation annuelle a peu ou pas d'effet à long terme. Les chiffres montrent que même une formation approfondie à la cybersécurité est oubliée au bout de six mois.La répétition est donc la clé du succès.

4.2 Une touche personnelle

Ne vous faites pas d'illusions, tout le monde est susceptible d'être victime de phishing. Du chef de service d'un hôpital à l'équipe de nettoyage, du recteur d'une université à la réceptionniste, voire de l'informaticien à l'analphabète numérique, tout le monde est une cible et tout le monde peut se faire prendre. Bien sûr, cela ne se produit pas avec les e-mails génériques, mais tout le monde a ses faiblesses. Votre collègue du marketing sera peut-être un peu trop prompt à cliquer sur une simulation Facebook, tandis que vos amis comptables ne réfléchiront pas à deux fois à un courriel d'aspect professionnel concernant un retard de paiement. C'est pourquoi il est important de tester les employés avec des e-mails adaptés à leurs besoins.

À FAIRE  : tester les gens de différentes manières

Avec différents sujets et peut-être même à différents rythmes. Abordez les simulations en adoptant une approche personnalisée et surprenez les départements avec des courriels adaptés à leurs besoins. C’est la meilleure manière de modifier leur façon de travailler et de penser.

À NE PAS FAIRE : se limiter à des simulations générales dans toute l'organisation

Les collègues s'informeront rapidement les uns les autres lorsqu'ils découvriront ce qui se passe et cela fera échouer la simulation. Un test occasionnel dans lequel vous testez tout le monde de la même manière vous donnera des informations pertinentes, à condition d'alterner ces tests avec des campagnes plus personnalisées.

4.3 Pas de simulations d’hameçonnage sans formation

Les simulations de phishing sont un excellent moyen d’aider vos employés à repérer les menaces réelles, mais elles ne constituent qu'un premier pas vers une organisation plus sûre et mieux protégée. En effet, la sensibilisation seule ne suffit pas, elle doit s'inscrire dans une approche holistique. Il est important de proposer à vos employés une formation complète qui couvre un large éventail de sujets liés à la cybersécurité. Apprenez-leur à gérer chaque type de menace grâce aux micro-apprentissages efficaces et fluides.

À FAIRE  : opter pour une formation ludique et interactive

Vos employés n'ont que faire des bibliothèques de type Netflix remplies de vidéos qui ne sont pas exploitables. Apprenez-leur ce qu'il faut faire quand les choses tournent vraiment mal et motivez-les en utilisant des techniques éprouvées de gamification telles que les nudges, les récompenses et les certificats.

À FAIRE  : choisir un contenu pertinent au niveau local

Les formations sur les dangers des achats de fin d'année autour de la période de Noël sont pertinentes, mais les modules sur les jours fériés tels que le Cinco De Mayo ou le 4 juillet aux États-Unis ne fonctionneront pas en Europe.

À NE PAS FAIRE : obliger vos employés ayant un niveau de connaissances élevé à passer de simples tests et quiz

Ils ont leur place auprès des personnes qui peuvent apprendre plus lentement, mais ne mettez pas tout votre personnel dans le même sac. Chacun suit son propre parcours d'apprentissage.

4.4 Ensemble contre l'IA

La formation à la cyberconscience chez Phished est alimentée par notre propre IA, qui envoie des simulations de phishing à chaque employé de manière entièrement automatique. Cela frappe l'imagination : les employés voient qu'ils sont testés par l'IA et sont immédiatement motivés de montrer qu'ils sont plus intelligents que le robot de l'autre côté.

C'est ainsi que le phishing vit au sein d'une organisation. Autour de la machine à café, les collègues parlent des e-mails de phishing que l'algorithme leur envoie. Ils ont le sentiment de combattre un ennemi commun et sont fiers lorsqu'ils détectent un e-mail et le signalent. Cette dynamique favorise la sensibilisation.

À FAIRE : donner à vos employés la possibilité de signaler les simulations

Cela leur permet de jouer un rôle actif dans le processus. Autre avantage  : les collègues signaleront automatiquement les spams et les messages de phishing, ce qui renforcera la sécurité de l'entreprise. Nous appelons cela l'activation de l'engagement.

Sil
Sil Goeman - Bringme

IT manager

Avec nous, 40 % des simulations de phishing sont signalées. Ça marche. Cela nous oblige à signaler les vrais spams. La pression sur le service desk a été énormément soulagée.

À NE PAS FAIRE  : proposer une campagne de formation trop peu engageante

Les simulations et les formations fonctionnent mieux lorsque chacun se sent impliqué et comprend la philosophie de l'entreprise. Tout le monde signifie vraiment tout le monde  : du PDG à l'ouvrier.

5. Rapports et apprentissage

Les résultats sous le microscope

En testant, formant et sensibilisant les employés, vous faites déjà un bon bout de chemin. Toutefois, il manque encore un dernier pilier à une stratégie de cyberconscience solide  : le signalement. Quelles simulations fonctionnent le mieux ? Quels destinataires ou départements bénéficieraient d'une sensibilisation supplémentaire  ? Grâce aux rapports, vous prenez conscience des points faibles de votre organisation, afin de garder une longueur d'avance sur les vrais pirates.

Par exemple, nous constatons régulièrement que la plupart des destinataires sont pris au dépourvu lorsqu'ils ouvrent un courriel sur leur smartphone. Ces informations sont précieuses, car vous pouvez en tirer parti grâce à un module de formation spécifique de la Phished Academy.

À FAIRE  : communiquer clairement le taux de phishing à la direction

Les rapports sont très utiles pour illustrer le retour sur investissement de Phished. Vous pouvez montrer à quoi ressemble la courbe d'apprentissage des employés en utilisant des chiffres et des résultats concrets.

À FAIRE  : communiquer ouvertement le taux de phishing à l'ensemble de l'organisation

Nous abordons à nouveau cette pratique, car elle est très importante. Grâce à l'intégration de l'API, par exemple, vous pouvez rapidement partager des chiffres - anonymisés si nécessaire - en interne via l'intranet ou sur des écrans internes. Cette visibilité contribue à nouveau à sensibiliser l'ensemble de l'organisation.

6. Conclusion avec le hacker éthique, Inti De Ceukelaire, d’Intigriti

Reconnaître que vous êtes vulnérable est la première étape pour déceler et atténuer les risques.

Le principal argument des gens pour ne pas suivre une formation anti-hameçonnage -  « ça ne m'arrivera jamais » - ne tient pas la route : tout le monde est susceptible d'être victime d'une campagne bien exécutée.

Il arrive à tout le monde d'être moins vigilant et c'est exactement pour cela que les tests continus sont importants. Les cybercriminels n'attendent pas que vous ayez bu votre premier café, ni que vous ayez terminé votre formation annuelle de sensibilisation. Tous les cours de formation que vous suivez seront périmés dès le lendemain, car les pirates informatiques utilisent constamment de nouvelles techniques et méthodologies pour rendre leurs pièges plus réalistes et plus actuels.

Inti
Inti De Ceukelaire - Intigriti

En tant qu'expert en cybersécurité, je n'ai pas honte de dire que j'ai déjà cliqué sur un courriel de phishing.

Les récentes violations de données chez Facebook et LinkedIn, entre autres, nous apprennent non seulement que les attaquants disposent d'énormes bases de données sur lesquelles ils peuvent fonder leurs campagnes de phishing - et les rendre crédibles - mais aussi qu'ils n'ont besoin que d'un simple outil de scraping pour cibler les gens de manière convaincante. En quelques secondes, un pirate pourra piéger n'importe qui.

Pour contrer les nouvelles attaques et prévenir les scénarios catastrophes, nous devons apprendre à identifier les scénarios d'hameçonnage afin d'instaurer une vigilance permanente. Cela ne peut se faire qu'en proposant un parcours de formation continue à nos employés, aussi agile que la cybermenace croissante.

À FAIRE : procédure à suivre pour organiser une campagne de phishing interne réussie

Prévenez vos employés à l'avance
Testez les gens de différentes manières
Répétez la simulation et rendez-la plus difficile
Choisissez une formation amusante et interactive
Alertez votre collègue lorsque vous envoyez un courriel d’hameçonnage censé provenir de son adresse
Choisissez un contenu pertinent au niveau local
Fixez-vous un objectif réaliste
Donnez à vos employés la possibilité de signaler les simulations
Communiquez les résultats de manière transparente
Communiquez clairement vis-à-vis de la direction
Planifiez des simulations sur une base régulière
Communiquez ouvertement les résultats à l'ensemble de l'organisation

À NE PAS FAIRE  : procédure à NE PAS suivre pour organiser une campagne de phishing interne

Ne rendez pas votre première simulation de phishing trop difficile
Veillez à ce que la campagne ne soit pas trop peu engageante
Ne promettez pas une récompense ou un bonus
Ne vous limitez pas à un seul test par an
Ne vous limitez pas à des simulations générales dans toute l'organisation
N'envoyez pas à tous vos employés des tests de niveau débutant
Ne punissez jamais les personnes qui se sont fait piéger

À propos de Phished

Phished propose une approche holistique de sensibilisation à la sécurité pour vos employés. Parce que la sensibilisation seule ne suffit pas, il est important de leur offrir une formation complète qui couvre toutes les bases.


Grâce à quatre piliers, la sensibilisation à la sécurité et le comportement de votre organisation s'accumulent dans le Behavioural Risk Score™ ou BRS

  • Simulations de phishing et de smishing : envoyez des simulations d’hameçonnage personnalisées sans intervention manuelle
  • Signalement actif : arrêtez les menaces d'hameçonnage d'un simple clic.
  • Sessions de formation et points de contrôle : modifiez les comportements grâce à de courts micro-apprentissages.
  • Threat Alerts : avertissez vos employés lorsque des incidents surviennent, tant sur le réseau professionnel que privé