Que sont les simulateurs de phishing ?

Phishing Simulation Simulateur Simulator

Les simulations de phishing sont des courriels qui semblent être malveillants mais qui ne sont pas envoyés par de véritables attaquants et ne contiennent pas de contenu malveillant. Les services informatiques et de sécurité de l’information envoient généralement ces e-mails aux utilisateurs de leur organisation à titre de test pour voir comment ils vont réagir.

Le logiciel qui prend en charge les simulations d’hameçonnage mesure généralement le nombre et la nature des utilisateurs qui consultent, cliquent, téléchargent, répondent, saisissent des informations d’identification ou (dans le meilleur des cas) signalent le message à l’aide d’un outil de rapport d’hameçonnage.

Si les utilisateurs cliquent, saisissent des informations sur une fausse page de renvoi ou téléchargent des pièces jointes, une page de renvoi peut leur être présentée, qui fournit généralement des conseils et leur indique qu’il s’agit d’une simulation.

Sachez toutefois que les utilisateurs peuvent ne voir cette page de renvoi que quelques secondes. La réaction typique de l’utilisateur est de quitter ces pages aussi vite que possible. Ces pages ne sont donc pas idéales comme éléments éducatifs autonomes.

Pourquoi effectuer des simulations de phishing ?

Il est courant que les gens pensent que les mauvaises choses qui se produisent dans le monde ne peuvent pas leur arriver. Mais les simulations de phishing auxquelles les utilisateurs se laissent prendre peuvent conduire à ce moment critique où les utilisateurs réalisent qu’ils peuvent effectivement être compromis.

Les attaques de phishing devenant de plus en plus ciblées et difficiles à repérer, il est important de créer le concept de vulnérabilité afin de faire passer le « pourquoi » de votre programme de sensibilisation à la sécurité. Les utilisateurs comprennent, après avoir été victimes d’une attaque de phishing simulée, qu’ils peuvent être exposés à une attaque réelle.

Quelles sont les meilleures pratiques pour les simulations de phishing ?

Nous avons plusieurs recommandations, présentées ci-dessous, basées sur notre expérience pour aider les personnes à réaliser une campagne de phishing en douceur.

Avant la mise en ligne :

  • Établissez une liste de sécurité appropriée et effectuez un test auprès d’une poignée d’employés de votre service pour vous assurer que les simulations de phishing se déroulent comme prévu.
  • Si vous disposez d’un service d’assistance ou d’un service interne similaire, informez-les de la simulation de phishing avant de l’envoyer ; faites-le à chaque fois.
  • Envisagez de tenir un autre groupe de personnes désignées au courant de la simulation, comme les ressources humaines, la direction générale ou d’autres personnes, le cas échéant.
  • Si vous envoyez une simulation de hameçonnage imitant un autre service interne, demandez l’autorisation de ce service et faites-lui approuver le contenu final.
  • Pour les simulations destinées à des publics internationaux, pensez à trouver des parties prenantes dans ces régions qui connaissent la culture et peuvent examiner le contenu de la simulation de phishing pour s’assurer qu’il est pertinent.

Démarrage de votre programme de simulation de phishing

Lorsque vous envoyez votre première simulation de phishing, envoyez les utilisateurs vers une page d’erreur 404 pour obtenir une base solide de vulnérabilité de l’utilisateur pour commencer. Ensuite, après avoir envoyé ce « phishing aveugle » :

  • Envoyez une notification présentant aux utilisateurs le programme et les objectifs ; voyez si le message peut être envoyé par votre responsable de la sécurité informatique (CISO) ou votre directeur de l’information (CIO) ou un autre cadre de niveau C.
  • Ensuite, identifiez les personnes ou les utilisateurs les plus attaqués par des attaques réelles afin de concentrer vos simulations ou de fournir des efforts de réduction des risques plus ciblés à ces populations.
  • Enfin, collaborez avec d’autres départements ou collègues pour mesurer les impacts réels sur la sécurité des utilisateurs avant et après la mise en œuvre du programme, afin de démontrer le retour sur investissement de vos efforts – par exemple, les remèdes informatiques apportés aux logiciels malveillants, les attaques de phishing réussies et les violations de données d’identification.