Comment réaliser un test de sécurité efficace contre le phishing ?

Comment réaliser un test de sécurité efficace contre le phishing ?

Votre employé saurait-il qu'il a reçu un courriel d'hameçonnage ?

Des entreprises font l'objet de violations chaque jour et plus de 90 % d'entre elles commencent par une attaque de phishing.

Saviez-vous que plus de 90 % des violations de données réussies ont commencé par une attaque de spear phishing ? La première étape pour éliminer un problème est de comprendre qu'il existe. Le phishing est une menace pour toutes les organisations du monde entier. L'exécution d'un test de phishing efficace au travail peut faire la différence entre un employé qui clique sur des liens ou des pièces jointes malveillants et un autre qui les signale. Que vous soyez en train de débattre de l'idée de mener une campagne interne de test de sécurité contre le phishing ou que vous vous demandiez comment commencer, cet article vous donnera les informations dont vous avez besoin.

Dans cet article, nous allons analyser le processus d'un test de phishing, de sa mise en œuvre à son rapport et comment il peut protéger votre entreprise. Nous aborderons le cadrage, le déploiement technique, l'exécution et l'exercice post-simulation.

Qu'est-ce que le phishing?

Votrecollaborateur saurait-il s'il a reçu un courriel de phishing ? Le phishing est une forme d'ingénierie sociale qui consiste à utiliser des tactiques d'appât pour inciter les utilisateurs à donner des informations personnelles ou sensibles par courrier électronique.

Nous recevons des centaines d'e-mails chaque jour. Les escroqueries par hameçonnage sont devenues de plus en plus sophistiquées et les pirates emploient toute une série de tactiques modernes et personnalisées pour inciter les utilisateurs à divulguer des informations sensibles telles que leurs noms d'utilisateur et leurs mots de passe. Et bien qu'il existe de nombreux outils de sécurité qui bloquent la plupart des spams et des courriels de phishing, certains finissent par passer au travers.

Une organisation qui succombe à une telle attaque subit généralement de lourdes pertes financières, en plus du déclin de sa part de marché, de sa réputation et de la confiance des consommateurs. Selon son ampleur, une tentative de phishing peut dégénérer en un incident de sécurité dont l'entreprise aura du mal à se remettre.

Il existe un certain nombre de techniques différentes utilisées pour obtenir des informations personnelles des utilisateurs. Les techniques utilisées par les pirates informatiques sont de plus en plus sophistiquées à mesure que la technologie progresse.

Pour prévenir le hameçonnage sur Internet, les utilisateurs doivent savoir comment les pirates s'y prennent grâce à des campagnes de tests de sécurité sur le hameçonnage.

Qu'est-ce qu'une campagne anti-phishing?

Un test de sécurité contre le hameçonnage est un outil en ligne qui teste votre sécurité et votre vulnérabilité au hameçonnage. Il est utilisé par les professionnels de la sécurité et de l'informatique pour créer des e-mails ou des pages Web de phishing fictifs qui sont ensuite envoyés aux employés. Le test de sécurité contre le phishing fonctionne en envoyant un e-mail à vos utilisateurs. Si l'utilisateur clique sur le lien dans le test anti-phishing, il est dirigé vers une page de renvoi. Les pages de renvoi indiquent à l'utilisateur qu'il a échoué à un test de phishing simulé et lui donnent quelques conseils pour inspecter les e-mails dans sa boîte de réception.

Ces fausses attaques aident les employés à comprendre les différentes formes que peut prendre une attaque de phishing, les caractéristiques d'identification, et à éviter de cliquer sur des liens malveillants ou de divulguer des données sensibles dans des formulaires malveillants. Ils acquièrent une expérience réelle sans aucun risque. Ils ont également l'occasion d'améliorer leur comportement en matière de sécurité de manière significative, avec un retour d'information de l'informatique si nécessaire.

Pour les professionnels de l'informatique et de la sécurité, un test de sécurité contre le hameçonnage peut vous aider à déterminer combien d'utilisateurs de votre organisation sont susceptibles d'être victimes d'une attaque par hameçonnage.

Comment fonctionnent les tests de sécurité contre le phishing ?

Il y a quelques règles à suivre pour que votre test de phishing atteigne une efficacité maximale et améliore le comportement des employés en matière de cybersécurité à long terme.

Que faire avant un test de sécurité contre le phishing

Avant de vous lancer dans un test d'hameçonnage, vous devez avoir préparé quelques éléments. Vous aurez besoin de certaines données, telles que vos utilisateurs cibles, mais surtout, vous devez définir les bonnes attentes.

Ensuite, vous devrez trouver un outil de test de phishing qui vous aidera à atteindre vos objectifs.

Il existe une liste apparemment interminable d'outils d'hameçonnage, qu'ils soient open source ou propriétaires, simples à utiliser ou très perfectionnés.

Il est important de trouver la solution qui convient à votre entreprise en répondant aux questions sur le budget, les exigences et les intégrations.

Nous vous suggérons de trouver un outil de phishing qui respecte ces 5 principes de base :

  • Il utilise les dernières techniques d'attaque des hackers,
  • il est facile à utiliser,
  • Il a des modèles de phishing préchargés,
  • il est automatisé pour faciliter les simulations en cours,
  • il dispose de reporting qualitatifs.

Une fois que vous avez choisi un outil de test de phishing, vous pouvez commencer à planifier.

Planifiez votre test de sécurité contre le phishing

Les simulations de phishing sont souvent lancées dans le cadre d'une approche plus large de la gestion des risques humains et sont administrées périodiquement en utilisant des techniques et des messages différents. Dans la plupart des cas, la simulation est administrée par l'équipe de cybersécurité de l'entreprise ou le fournisseur de cybersécurité et se déroule comme suit.

Timing

Un test doit être construit comme une série de simulations de phishing - une campagne - délivrée chaque mois ou chaque trimestre. C'est la seule façon de mesurer le succès et l'amélioration.

Votre campagne doit être progressive en termes de difficulté - votre premier test doit être assez simple à identifier. Ensuite, essayez différents angles et différents niveaux de subtilité dans vos tests, comme indiqué dans la section suivante.

Meilleures pratiques pour mener une campagne de phishing

Une campagne de phishing doit reproduire fidèlement les tactiques et techniques utilisées par les vrais attaquants, en utilisant les accroches qui auront le plus d'impact émotionnel sur la cible. Les pirates utilisent une variété d'astuces différentes pour tromper les gens, mais la plupart des attaques tournent autour de :

  • Altruisme - par exemple, demander au destinataire une faveur rapide.
  • Récompense - par exemple, participer à un tirage au sort pour gagner une réduction importante.
  • Espoir - par exemple, télécharger une pièce jointe pour savoir qui a gagné ce défi trimestriel.
  • La peur - par exemple, avertir qu'un mot de passe est sur le point d'expirer et cliquer sur un bouton pour continuer à l'utiliser.
  • L'anxiété - par exemple, le PDG vous demande d'effectuer un virement bancaire urgent.

Outre l'utilisation des bonnes tactiques dans vos messages, il est encore plus important de s'assurer qu'il existe une approche bien pensée pour la planification, la diffusion et le suivi des simulations continues.

Utilisez différentes méthodes d'hameçonnage pour donner aux employés de multiples occasions d'apprendre et les garder sur le qui-vive. Si le premier e-mail doit être un modèle de phishing de base, les e-mails suivants doivent utiliser des tactiques d'ingénierie sociale et des schémas plus retors pour tromper l'employé comme le ferait un pirate informatique.

Informez vos équipes

Déployer des simulations de phishing sans expliquer au préalable à votre personnel pourquoi l'entreprise souhaite mener ces campagnes peut être un moyen sûr de créer une mentalité de "nous contre eux" entre la direction et l'ensemble de l'entreprise.

Présentez une courte formation pour établir ce qui est ou n'est pas un courriel de phishing, ou quelques conseils sur ce dont il faut se méfier, puis informez les employés que vous allez effectuer des tests de phishing pour les préparer à une attaque dans un cadre contrôlé.

Il est important d'expliquer pourquoi ces efforts contribuent à la sécurité de l'entreprise, de ses employés et de ses clients, sinon les gens risquent de se sentir pris en défaut pour avoir fait quelque chose de mal, au lieu de trouver un intérêt à apprendre de leurs erreurs pour éviter d'être victimes.

Vous devriez également créer une adresse électronique spécifique à l'entreprise (par exemple, [email protected]) et informer vos employés de transmettre les courriels suspects à cette adresse pour examen par le service informatique. En outre, vous pouvez télécharger un bouton de signalement du phishing à intégrer dans la boîte de réception de chaque employé. Il est bon d'encourager une communication ouverte lorsque les employés découvrent des e-mails douteux.

Top management sponsorship

Si vous voulez que les employés comprennent vraiment l'intérêt d'effectuer des tests de sécurité internes contre le phishing, un message clair et cohérent doit venir du sommet. Après tout, la lutte contre les attaques de phishing n'est pas seulement un problème pour les spécialistes de la cybersécurité, c'est la responsabilité de chacun au sein de l'entreprise.

Lors d'une campagne de simulation, maintenez vos équipes en alerte

Les simulations doivent également être continues, et pas seulement ponctuelles. Les attaques de phishing évoluent constamment, et des tests continus donneront à vos employés l'expérience nécessaire pour repérer les attaques les plus récentes et les plus sophistiquées.

Veillez à ce que chaque membre du personnel reçoive une simulation d'hameçonnage au moins une fois par trimestre afin d'assurer un suivi des risques tout en maintenant un niveau d'éducation élevé, sans pour autant tomber dans l'excès et ennuyer les gens.

Après un test de sécurité contre le hameçonnage, suivez les éléments essentiels

Une fois votre campagne terminée, il est temps de comptabiliser les résultats, de communiquer les données aux parties prenantes concernées et d'informer les employés de leurs résultats.

Il est également important d'examiner les principaux indicateurs de performance pour s'assurer que vous savez où le risque augmente ou diminue dans l'organisation.

Il y a quatre paramètres clés que vous devez mesurer :

  • Taux d'ouverture - Combien de personnes ont ouvert l'e-mail de phishing simulé ?
  • Taux de clics sur les liens - Combien de personnes ont cliqué sur un lien dans l'e-mail de phishing ?
  • Nombre d'employés ayant divulgué des données sensibles (par exemple, sur une fausse page de connexion se présentant comme leur fournisseur d'e-mail) ou nombre d'employés ayant téléchargé une pièce jointe "dangereuse" qui aurait pu contenir un ransomware (par exemple, une fausse facture).
  • Nombre d'employés ayant signalé un e-mail de phishing

La seule façon de montrer les progrès accomplis est de mesurer l'impact au fil du temps et de prendre note de ces paramètres après chaque test. Vous devez partager les résultats avec le reste de l'organisation.

Repérer les tendances et mesurer les résultats en cours est essentiel pour déterminer si la sensibilisation au phishing s'améliore ou non. Il s'agit de comparer les résultats de plusieurs campagnes dans le temps pour voir combien d'utilisateurs sont compromis dans les simulations par rapport aux mois précédents.

Formez et récompensez

Puisque votre objectif est d'améliorer la sensibilisation des employés à la cybersécurité, votre travail ne fait que commencer.

Lors de vos premières campagnes de phishing, il est fort probable qu'au moins quelques utilisateurs soient compromis, certaines entreprises voyant même plus d'un tiers de leur personnel mordre à l'hameçon lors d'un phishing précoce.

Toute simulation de phishing doit être positive et transparente. Le phishing est en augmentation et il suffit d'une seule personne peu méfiante pour exposer une organisation entière.

Établissez une base de référence, récompensez les utilisateurs les plus performants, mais ne nommez pas les utilisateurs qui échouent à une simulation de phishing, formez les et commencez à planifier votre prochain test !

Certains programmes de formation au phishing expérimentent l'idée de laisser les travailleurs concevoir leurs propres attaques. La formation commence par une tâche consistant à rechercher des informations publiques, disponibles sur Internet, concernant une entreprise. L'équipe chargée de la formation sélectionne ensuite un ensemble de propositions et envoie les courriels d'hameçonnage générés par les employés à d'autres personnes de l'organisation. Ils mesurent ensuite les différentes campagnes les unes par rapport aux autres et annoncent celles qui ont donné les meilleurs résultats.

Les employés peuvent en apprendre beaucoup sur les attaques par hameçonnage en essayant d'imiter le fonctionnement des esprits fourbes et en prenant conscience du type d'informations publiques qui peuvent être facilement utilisées comme armes pour cibler des personnes ou des services spécifiques. Par exemple, ils peuvent voir comment les publications sur les réseaux sociaux peuvent rendre les entreprises vulnérables.

Ces types d'activités sont complémentaires aux tests de phishing standard et automatisés. Elles illustrent comment le fait de rester à l'affût des menaces malveillantes peut être un défi en constante évolution, mais aussi une occasion de s'engager dans des activités de renforcement de l'esprit d'équipe pour lutter contre la cybercriminalité.

En suivant les conseils décrits ici, vous avez jeté les bases d'un programme qui sera certainement fructueux et gratifiant. Il contribuera à limiter la surface d'attaque de votre organisation et à protéger vos employés contre les personnes extérieures malveillantes.

Quelle est la prochaine étape ? Commencez à vous préparer pour votre prochain test de phishing !

Une sensibilisation au phishing et un test continu sont nécessaires à mesure que votre entreprise se développe et que les méthodes de phishing évoluent. Les simulations de phishing sont un peu comme un vaccin contre le phishing : pour développer une immunité contre un virus, vous administrez un vaccin - une petite dose du virus - pour apprendre à l'organisme à le combattre. Pour se défendre contre le phishing, vous administrez des simulations de phishing pour apprendre à vos employés à combattre la menace.

Bien que les tests de phishing puissent être utiles pour protéger les utilisateurs, l'utilisation de tactiques douteuses peut potentiellement nuire aux relations entre une entreprise et ses employés. En tant que professionnel de la sensibilisation à la sécurité, nous défendons l'importance de l'élément humain. La cybersécurité n'est pas (seulement) un problème technique. Nous suggérons aux équipes de sécurité d'éviter ces dommages en employant des tests de phishing répondant à trois critères : Tester des équipes, pas des individus ; ne mettre personne dans l'embarras ; et ne pas punir mais récompenser.

Nous espérons que cet article vous aidera à sensibiliser vos employés à la cybersécurité, afin que vous puissiez avoir l'esprit tranquille en sachant qu'ils ne se laisseront pas abuser et ne cliqueront pas sur le prochain lien de phishing qui arrivera dans leur boîte de réception.

Jean-François SCHOONHEERE
CEO & founder Stroople