Le phishing ou hameçonnage est une cybercriminalité dans laquelle une ou plusieurs cibles sont contactées par courrier électronique, téléphone ou SMS par une personne se présentant comme une institution légitime afin d’inciter la cible à fournir des données sensibles telles que des informations d’identification personnelle, des détails bancaires et de carte de crédit, et des mots de passe.

Ces informations sont ensuite utilisées pour accéder à des comptes importants et peuvent entraîner un vol d’identité et des pertes financières énormes.

Test de phishing

Pour remédier à ce type d’attaque, certaines entreprises ont recourt à ce qu’on appelle le test de phishing. C’est un programme de cybersécurité qui permet aux organisations d’envoyer à leurs employés un e-mail d’hameçonnage qui semble réel mais qui est complètement faux, afin de les tester. Ces tests sont conçus pour permettre aux employés de détecter les attaques de phishing et leurs variantes et de les signaler de manière appropriée. Ils sont également utilisés pour détecter les maillons faibles et mesurer l’efficacité des programmes de formation à la sécurité.

1ere Etape : Cibler

Le phishing seul est un outil très puissant pour les cybercriminels. Mais le phishing combiné à l’ingénierie sociale est l’outil d’extraction ultime. L’ingénierie sociale est un ensemble de techniques qui permettent de tromper ou manipuler les gens en exploitant leur contexte social, et c’est exactement ce que les vrais pirates tenteront de faire.

Les gens font confiance à ce qui leur est familier, donc si un pirate peut adapter un e-mail de phishing à une cible spécifique en utilisant des noms, des entreprises, des dates ou des sites Web connus, il y a plus de chances que la cible soit hameçonnée. Cela signifie que lorsque vous effectuez votre test de phishing, vous devez envoyer des e-mails à des personnes ou groupes de personnes spécifiques à chaque test, en utilisant des tactiques d’ingénierie sociale pour mesurer réellement leur capacité à résister à un e-mail malveillant.

Par exemple, vous pouvez commencer par cibler le département de finance pour améliorer sa sensibilisation.

Il est bon d’accroître le niveau général de sensibilisation, mais il est plus efficace de concentrer vos efforts sur le personnel le plus vulnérable. Suivez les nouveaux employés et assurez-vous qu’ils sont inscrits. Il est toujours important de se concentrer beaucoup plus sur les employés qui représentent le plus grand risque pour l’entreprise s’ils tombent victime d’une attaque de phishing. Si vous arrivez à établir un programme automatisé clair qui vous permet de suivre le progrès de la campagne facilement, le reste n’est qu’un jeu d’enfants.

2eme Etape : Lancer

Un test doit être construit comme une série de simulations de phishing. En d’autres termes, une campagne livrée chaque semaine ou chaque mois. C’est la seule façon de mesurer le degré d’amélioration et s’assurer de la réussite du test d’hameçonnage. Votre campagne doit être progressive en termes de difficulté.

Les courriels de phishing peuvent commencer par être pleins de signes révélateurs, mais ils doivent devenir de plus en plus difficiles à détecter, surtout si les gens réussissent à les repérer. Mélangez les styles, les sources d’attaque et les techniques que vous utilisez, et introduisez de nouvelles menaces. Les e-mails de phishing doivent devenir de plus en plus convaincants. Par exemple, ceux qui sont liés à l’actualité, aux événements les plus marquants et aux types d’e-mails saisonniers (rentrée des classes, vacances). Plus vous arriverez à utiliser l’ingénierie sociale dans votre campagne, plus le taux de réussite du phishing augmentera.

N’oubliez surtout pas d’inclure les cadres supérieurs et les dirigeants dans votre test de phishing. Ils sont les gardiens des actifs les plus précieux de votre entreprise et sont donc les plus susceptibles d’être ciblés par les cybercriminels.

Outils

Il existent plusieurs sites payants et gratuits qui vous permettent d’envoyer des tests de phishing à vos employés, voici une liste des sites les plus utilisés :

Résultats d’un test phishing sur Knowbe4

Infosec IQ

Phishinsight

Knowbe4

Sophos Phish Threat

Si vous ne souhaitez pas demander une démo ou lancer la campagne via un siteweb, il existe une autre alternative. Vous pouvez faire appel à un consultant en sécurité informatique au sein de Mobile ALL. Celui-ci va s’occuper de créer un e-mail de phishing qui devrait attirer les utilisateurs vers un faux site, en utilisant l’ingénierie sociale et les informations que vous allez lui fournir. Ensuite, il enverra l’e-mail à tous les utilisateurs en utilisant un serveur de messagerie qui lui permettra d’usurper l’adresse de départ (dr0pbox au lieu de dropbox par exemple).

3eme Etape : Suivre

Il existe trois moyens de mesurer la performance de votre campagne, à travers le taux de clics sur les liens, le nombre d’employés ayant divulgués des données sensibles (mots de passe) et le nombre d’employés ayant signalé un e-mail de phishing.
L’idéal c’est de pouvoir voir au fil du temps cette troisième catégorie d’employés augmenter. La seule façon de montrer les progrès réalisés est de noter ces paramètres après chaque test. Vous devez partager les résultats avec le reste de l’organisation, mais veillez à ne pas isoler un individu ou un groupe. Tous les résultats doivent être agrégés !

Si les résultats de l’ensemble de l’organisation doivent être agrégés, la seule façon d’aider les individus et les équipes à s’améliorer est de leur montrer (dans un cadre calme et privé) ce qu’ils ont fait de mal (ou de bien) afin qu’ils puissent réussir lors de la prochaine simulation.

N’oubliez pas de récompenser les personnes les plus performantes. Vous pouvez envoyer des e-mails aux personnes qui n’ont pas cliqué sur un lien et/ou qui n’ont pas divulgué des informations sensibles et leur faire savoir qu’elles font un excellent travail pour protéger l’entreprise des cybercriminels. Vous pouvez également envoyer un courriel à des départements entiers si leurs résultats sont les meilleurs de toute l’organisation.

Parfois, une compétition entre départements peut s’avérer très utile. Le département « gagnant » pourra bénéficier d’un déjeuner ou un dîner dans un restaurant renommé.

4eme Etape : Former

Au fil du temps, vous aurez une idée précise des types d’e-mails de phishing auxquels votre personnel est sensible et des employés spécifiques qui ont besoin d’une formation plus poussée.

Cette étape est la partie la plus importante de tout test de phishing. Pour pouvoir aider les personnes moins performantes à réussir, vos employés doivent se sentir à l’aise pour vous parler de leurs difficultés en cybersécurité. Ils ont besoin de savoir que vous respectez et appréciez leurs efforts. C’est seulement à ce moment là qu’ils choisiront de vous envoyer quelque chose de suspect, plutôt que d’essayer de la découvrir eux-mêmes.

C’est lors d’une première infraction, qu’un e-mail est envoyé pour informer les employés qu’ils ont commis une erreur lors du test de phishing. Ainsi, il faudra rappeler l’importance de la cybersécurité et fournir du matériel de formation supplémentaire (comment repérer un e-mail d’hameçonnage).

Lors des séances de formation, faites savoir qu’il est possible de transférer un e-mail suspect à un responsable IT pour vérification, tout en mentionnant l’adresse en question « [email protected] » par exemple.

0 réponses

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *