Vous pouvez vous protéger contre l'usurpation d'identité en protégeant votre numéro de Sécurité sociale et d'autres documents sensibles, en examinant régulièrement vos rapports de solvabilité, en
Mis à jour le 11 avril 2023.
Toute entreprise qu’elle que soit sa taille, doit prendre au sérieux le problème d’hameçonnage. Vous préparez à l’avance est la meilleure façon de protéger votre entreprise d’une attaque d’hameçonnage. La formation des employés et l’exécution de tests de détection de l’hameçonnage permettent aux employés de repérer les tentatives d’hameçonnage.
Pour mener à bien une campagne d’hameçonnage, vous devez d’abord rechercher un outil d’hameçonnage qui vous aidera à effectuer le test, à le mettre au point puis à en analyser les résultats. Dans ce guide, nous verrons comment exécuter un test de phishing dans l’environnement de travail afin que vos employés puissent détecter ces attaques avant de tomber dans le piège d’une véritable arnaque.
Qu’est-ce que le phishing ?
Le phishing est un type de cyberattaque dans lequel l’attaquant tente d’obtenir des informations sensibles en se faisant passer pour une personne de confiance que la victime connaît. Les attaques par hameçonnage se produisent le plus souvent par e-mail ou par SMS avec un langage pressant afin que la victime ciblée agisse rapidement.
Un exemple, supposons que vous ouvriez votre boîte de réception et remarquiez un courriel de la banque Chase concernant une mise à jour de votre compte bancaire. L’e-mail vous semble important, et le modèle semble identique aux e-mails que vous recevez normalement de Chase, vous cliquez donc sur le lien. Ce lien est malheureusement malveillant et vous envoie vers un site usurpé. Un site usurpé est un site créé pour paraître légitime, mais qui ne l’est pas. Une fois vos informations d’identification saisies sur ce site, vous donnez essentiellement vos identifiants au pirate sans même le savoir. Le pirate dispose désormais de toutes les informations dont il a besoin pour ouvrir une session sur votre compte Chase légitime.
Au travail, un e-mail d’hameçonnage peut se présenter comme un e-mail de votre patron, avec une légère faute d’orthographe, ou d’un collègue dont le domaine est légèrement différent de celui d’habitude. En règle générale, l’e-mail vous demandera de fournir des informations sensibles que l’attaquant utilisera ensuite pour voler ou blesser votre entreprise d’une manière ou d’une autre.
Qu’est-ce qu’un test d’hameçonnage?
Un test d’hameçonnage est un programme qui permet aux entreprises d’envoyer des e-mails d’hameçonnage réalistes et simulés aux employés pour voir comment ils y répondraient. Ces tests d’hameçonnage permettent aux entreprises de voir si leurs employés sont bien formés pour détecter les attaques d’hameçonnage et leur fournissent une formation s’ils interagissent avec eux. Grâce à des simulations d’attaques par hameçon, les employés apprendront à mieux les repérer s’ils devaient en recevoir une réelle, ce qui protégera votre entreprise à long terme.
Comment préparer vos employés à un test d’hameçonnage
Il vous faudra abord trouver un outil d’hameçonnage que vous pourrez utiliser pour exécuter le test. Il y en a plusieurs, y compris les logiciels gratuits open source comme Gophish. Vous pouvez également vous intéresser aux produits commerciaux tels que KnowBe4 et Infosec IQ.
Une fois l’outil choisi, informer vos employés et former les. Après tout, l’objectif est de les sensibiliser aux dangers de l’hameçonnage et de tester leurs performances.
En effectuant votre test avant d’alerter vos employés, vous risquez de perdre leur confiance et de leur donner l’impression d’être méprisés par le service informatique. En revanche, si vous prévenez et formez vos employés à l’avance, vous augmentez les chances qu’ils considèrent cela comme une expérience d’apprentissage précieuse plutôt que comme un échec embarrassant et surprenant de leur part.
Vous devrez également mobiliser vos gestionnaires et vos responsables de département pour définir les paramètres du test. De nombreux hameçonneurs utilisent des tactiques d’ingénierie sociale, telles que se faire passer pour un collègue ou un gestionnaire, pour augmenter leurs chances de tromper leurs cibles. C’est pourquoi il est très judicieux de travailler avec les responsables de département pour trouver comment cibler des employés spécifiques, comme le ferait un véritable attaquant.
Il est important de préciser aux employés comment faire un rapport sur les tentatives d’hameçonnage. Par exemple, doivent-ils transférer l’e-mail au service informatique? Faire un rapport à leur gestionnaire? Les employés sont davantage disposés à faire un rapport sur les e-mails lorsque cela ne perturbe pas leur flux de travail, c’est pourquoi votre processus de rapport doit être le moins pénible possible. Ce processus de rapport varie d’un outil à l’autre, alors assurez-vous de le garder à l’esprit avant de choisir un outil d’hameçonnage pour votre entreprise.
Comment créer un test d’hameçonnage
Une fois que toutes les bases sont posées, vous pouvez commencer à régler les détails de votre test, comme sa durée, les types d’hameçonnage qui seront testés, les indicateurs que vous examinerez et les personnes qui seront testées.
Ces tests sont les plus perspicaces, car les entreprises ont en permanence de nouveaux employés qui doivent être formés et testés. Chaque nouvelle personne qui vous rejoint commencera par un e-mail d’hameçonnage bidon par mois avec un modèle d’hameçonnage clair qui passera ensuite à un e-mail d’ingénierie sociale qui ressemble à celui d’un collègue. Le fait de progresser lentement permet à vos employés de prendre peu à peu confiance en eux au lieu de se décourager après avoir échoué trop rapidement.
Avant de commencer le test, il est important de décider avec votre équipe quels sont les types d’attaques par hameçonnage que vous utiliserez. Par exemple, utiliserez-vous le spear phishing pour cibler des individus spécifiques? L’hameçonnage de type chasse à la baleine pour s’attaquer au PDG et aux autres dirigeants? Allez-vous inclure également l’hameçonnage par clone? Vous devrez généralement utiliser plusieurs attaques par hameçonnage différentes pour tester la capacité des membres de votre équipe à identifier chacune d’elles.
Afin de mesurer et d’interpréter avec précision ce qui se passe pendant le test, vous devrez également sélectionner les paramètres que vous contrôlerez. En règle générale, vous devrez garder une trace de ces trois mesures:
- Le nombre d’employés victimes d’une tentative d’hameçonnage et de fuite de données
- Le nombre d’employés qui ont réussi à identifier et à faire un rapport sur une tentative d’hameçonnage
- Taux de clic sur les liens
N’oubliez pas d’inclure les cadres supérieurs, les cadres et même les membres du comité lors de votre test. Ces membres de l’équipe de haut niveau font souvent partie des plus grandes cibles d’hameçonnage, ils doivent donc être préparés eux aussi.
Une fois tous les détails du design de votre test réglés, il est temps de le lancer. La chose la plus importante à garder à l’esprit ici est que le calendrier de déploiement exact doit rester secret. Si les employés connaissent parfaitement le calendrier, ils s’attendront à recevoir des courriels d’hameçonnage, ce qui faussera vos résultats.
Que faire après avoir reçu les résultats des tests d’hameçonnage
Même si le test est peut-être terminé, le travail ne l’est pas. Il est temps pour vous, d’examiner les données et de voir comment votre entreprise a performé.
Dans un premier temps, vous voudrez savoir si vous avez atteint les objectifs que vous espériez atteindre : au fil du temps, moins d’employés se sont-ils laissés prendre par les courriels d’hameçonnage? Les taux de clic sur les liens ont-ils diminué? Le nombre d’employés ayant signalé des e-mails suspicieux a-t-il augmenté ?
Lorsque vous avez examiné toutes les données, il est temps de prendre une décision pour aller de l’avant. En règle générale, il est judicieux de présenter les résultats à votre entreprise afin que tout le monde puisse voir où des améliorations sont nécessaires. Cependant, il est important de ne pas cibler publiquement des départements ou des employés spécifiques.
Certains employés se révèleront inévitablement peu performants, il est donc important de les approcher avec tact et compréhension. Le test est censé être une expérience d’apprentissage, il n’y a donc aucune raison d’être impoli ou de se montrer défavorable aux personnes peu performantes. Cela dit, assurez-vous de leur fournir une formation supplémentaire afin qu’ils puissent s’améliorer. La plupart des outils d’hameçonnage ont la possibilité de faire passer une formation supplémentaire aux personnes qui pourraient en avoir besoin.
La cybersécurité commence avec les employés
L’exécution d’un test d’hameçonnage n’est qu’une pièce du puzzle de la cybersécurité. Pour assurer la sécurité de votre entreprise sur le long terme, il est primordial de garder la cybersécurité au cœur des préoccupations de chacun grâce à des formations périodiques et à des initiatives de tests continus.
De plus, il peut être utile d’améliorer d’autres domaines de la sécurité de votre entreprise en mettant en place une gestion des accès privilégiés et en demandant aux employés d’utiliser des gestionnaires de mot de passe. Les gestionnaires de mot de passe aident les employés à maintenir leurs mots de passe sûrs et sécurisés avec facilité, protégeant votre entreprise des attaques de mot de passe courantes. De plus, ils peuvent protéger directement contre les tentatives d’hameçonnage, car le remplissage automatique des mots de passe ne se fait que sur la base de correspondances directes d’URL, et non d’URL fictives provenant d’un site d’hameçonnage.