Le phishing augmente d’année en année, avec une croissance terrifiante de 87 % en un an.
COMMENT COMMENCER ?
À FAIRE
1. PRÉVENEZ VOS EMPLOYÉS À L’AVANCE QU’UN TEST AURA LIEU
Lors d’une première campagne de phishing interne, de nombreuses personnes sont assurées de tomber dans le piège. En moyenne, nous constatons que jusqu’à 50 % des employés se font prendre, même lorsqu’ils savent que quelque chose se prépare.
2. RÉPÉTEZ LA SIMULATION QUELQUE TEMPS PLUS TARD ET RENDEZ CETTE NOUVELLE CAMPAGNE PLUS DIFFICILE
Faites tout ce que vous pouvez. Choisissez par exemple un e-mail présentant un typosquattage, c’est-à-dire un e-mail dans lequel le nom de l’expéditeur ou le lien utilisé ressemble beaucoup à celui d’une organisation de confiance, à l’exception d’une faute de frappe.
3. ALERTER UN COLLÈGUE LORSQUE VOUS ENVOYEZ UN COURRIEL HAMEÇON CENSÉ PROVENIR DE SON ADRESSE ÉLECTRONIQUE
Cette technique vaut certainement la peine d’être testée, mais veillez à ce que la personne en question ne soit pas prise par surprise. Nous voyons que les gens aiment généralement faire partie de la conspiration. Bien que, bien sûr, vous deviez choisir quelqu’un qui peut garder un secret.
À NE PAS FAIRE
4. NE RENDEZ PAS VOTRE PREMIÈRE SIMULATION DE PHISHING TROP DIFFICILE
Choisissez un e-mail simple qui provient prétendument d’un collègue. LinkedIn est une source fantastique pour
cela. Ne commencez pas immédiatement par des courriels contenant des références à des connaissances
internes de l’entreprise ou à la structure connue de l’entreprise.
5. N’ESSAYEZ PAS DE PERSUADER LES GENS DE CLIQUER EN LEUR PROMETTANT UNE RÉCOMPENSE OU UN BONUS
Vous pourriez promettre de l’argent supplémentaire dans votre courriel d’hameçonnage, ce qui inciterait effectivement les gens à cliquer plus rapidement, mais lorsqu’il s’avérera que votre courriel n’était qu’un test d’hameçonnage et que le bonus n’existe pas, vous vous mettrez les gens à dos. Les criminels n’ont pas peur de la technologie, mais vous voulez garder vos employés de votre côté. Gardez-le donc propre ou préparez-vous à en subir les conséquences négatives.
COMMENT METTRE EN AVANT LE BON OBJECTIF ?
À FAIRE
6. SE FIXER UN OBJECTIF RÉALISTE
Personne n’est infaillible, aussi ne vous attendez pas à ce que toute votre organisation soit à zéro pour cent. Ce n’est pas nécessaire : avec un bon et vigoureux entraînement, vous pouvez éviter les pires catastrophes. Si quelqu’un se laisse séduire par un clic inapproprié, grâce à un programme de formation complet, l’ensemble de l’organisation sait exactement comment réagir.
7. COMMUNIQUEZ DE MANIÈRE TRANSPARENTE SUR LES RÉSULTATS DE VOS CAMPAGNES DE PHISHING SIMULÉES
Faites savoir combien d’employés se sont fait piéger, mais sachez que tout le monde peut se faire avoir. Veillez à ce que chacun sache quel est l’objectif, afin que vous puissiez y travailler en tant qu’organisation.
À NE PAS FAIRE
8. NE PUNISSEZ JAMAIS LES PERSONNES QUI CLIQUENT SUR UN COURRIEL DE SIMULATION
La prise de conscience prend du temps et tout le monde n’apprend pas aussi vite. Choisissez une histoire positive avec du soutien et donnez aux gens le temps dont ils ont besoin pour évoluer.
RÉPÉTER, RÉPÉTER ET RÉPÉTER ENCORE
À FAIRE
9. PLANIFIER DES SIMULATIONS SUR UNE BASE RÉGULIÈRE
Il ne suffit pas de travailler avec une approche ad hoc et de n’envoyer des simulations que lorsque l’on y pense. Vous devez effectuer des tests régulièrement, car la fréquence et les résultats vont de pair. Créer et envoyer ses
propres courriels est un processus qui prend du temps, il est donc préférable de choisir un outil qui automatise ce travail.
À NE PAS FAIRE
10. NE VOUS LIMITEZ PAS À UN SEUL TEST PAR AN
Nous constatons qu’une simulation annuelle a peu ou pas d’effet à long terme. Les chiffres montrent que même
une formation approfondie à la cybersécurité est oubliée au bout de six mois. La répétition est donc la clé du succès.
UNE TOUCHE PERSONNELLE
À FAIRE
11. TESTEZ LES GENS DE DIFFÉRENTES MANIÈRES
Abordez les simulations avec une approche personnalisée et surprenez les départements avec des courriels adaptés à leurs besoins.
À NE PAS FAIRE
12. NE VOUS LIMITEZ PAS À DES SIMULATIONS GÉNÉRALES DANS TOUTE L’ORGANISATION
Les collègues s’informeront rapidement les uns les autres lorsqu’ils découvriront ce qui se passe et cela ruinera la simulation. Un test occasionnel dans lequel vous testez tout le monde de la même manière vous donnera des informations pertinentes, à condition d’alterner ces tests avec des campagnes plus personnalisées.
PAS DE TESTS SANS FORMATION
À FAIRE
13. CHOISISSEZ UNE FORMATION AMUSANTE ET INTERACTIVE
Par exemple basée sur un quiz, une vidéo captivante ou une infographie attrayante. N’utilisez pas ces outils uniquement à des fins de prévention, mais apprenez aux employés ce qu’ils doivent faire lorsque les choses tournent vraiment mal.
14. CHOISISSEZ UN CONTENU PERTINENT AU NIVEAU LOCAL
Les cours de formation sur les dangers des achats de fin d’année autour de la période de Noël sont pertinents, mais les modules sur les jours fériés tels que le Cinco De Mayo ou le 4 juillet aux États-Unis ne fonctionneront pas ici.
À NE PAS FAIRE
15. N’OBLIGEZ PAS VOS EMPLOYÉS AYANT UN NIVEAU DE CONNAISSANCES ÉLEVÉ À PASSER DE SIMPLES TESTS ET QUIZ
Ils ont leur place auprès des personnes qui peuvent apprendre plus lentement, mais ne mettez pas tout votre personnel dans le même sac. Chacun suit son propre parcours d’apprentissage.
ENSEMBLE CONTRE L’IA
À FAIRE
16. DONNEZ À VOS EMPLOYÉS LA POSSIBILITÉ DE SIGNALER LES SIMULATIONS
Cela leur permet de jouer un rôle actif dans le processus. Ils rendent également l’IA plus intelligente, de sorte que les simulations suivantes deviennent plus difficiles. Autre avantage : les collègues signaleront automatiquement les spams et les messages de phishing, ce qui renforcera la sécurité de l’entreprise. Nous appelons cela l’activation de l’engagement.
À NE PAS FAIRE
17. VEILLEZ À CE QUE LA CAMPAGNE DE FORMATION NE SOIT PAS TROP PEU ENGAGEANTE
Les simulations et les formations fonctionnent mieux lorsque chacun se sent impliqué et comprend la philosophie de l’entreprise. Tout le monde signifie vraiment tout le monde : du PDG à l’ouvrier.
RAPPORTS ET APPRENTISSAGE
À FAIRE
18. COMMUNIQUER CLAIREMENT LE TAUX DE PHISHING À LA DIRECTION
Ce rapport est très utile pour illustrer le retour sur investissement de Phished. Vous pouvez montrer à quoi ressemble la courbe d’apprentissage des employés en utilisant des chiffres et des résultats concrets.
19. COMMUNIQUEZ OUVERTEMENT SUR LE TAUX DE PHISHING À L’ENSEMBLE DE L’ORGANISATION
Nous abordons à nouveau cette pratique, car elle est très importante. Grâce à l’intégration de l’API, par exemple, vous pouvez rapidement partager des chiffres – anonymisés si nécessaire – en interne via l’intranet ou sur des écrans internes. Cette visibilité contribue à nouveau à sensibiliser l’ensemble de l’organisation.
CONCLUSION
RECONNAÎTRE QUE VOUS ÊTES VULNÉRABLE EST LA PREMIÈRE ÉTAPE POUR DÉCELER ET ATTÉNUER LES RISQUES.
Le principal argument des gens pour ne pas s’adonner au phishing – « ça ne m’arrivera jamais » – ne tient pas la route : tout le monde est susceptible d’être victime d’une campagne bien exécutée.
Il arrive à tout le monde d’être moins vigilant et c’est exactement pour cela que les tests continus sont importants. Les cybercriminels n’attendent pas que votre premier café arrive, ni que vous ayez terminé votre formation annuelle de sensibilisation. Tous les cours de formation que vous suivez seront périmés dès le lendemain, car les pirates informatiques utilisent constamment de nouvelles techniques et méthodologies pour rendre leurs pièges plus réalistes et plus actuels.
Source: phished.io