1. Insights
  2. Blog
  3. Formation
  4. Réussir ses campagnes de sensibilisation au phishing

Réussir ses campagnes de sensibilisation au phishing

Alice Colas, consultante chez Orange Cyberdefense, livre des conseils pour faire de ses campagnes de sensibilisation au phishing un succès.

Simulation de campagnes de phishing : les erreurs fréquentes

Selon Verizon*, le phishing est le vecteur d’attaque le plus utilisé dans les cas de fuites de données (32%).
Ainsi, de plus en plus d’entreprises simulent des campagnes de phishing pour sensibiliser leurs collaborateurs. Ces simulations sont pourtant difficiles à maîtriser et peuvent parfois causer plus de mal que de bien.

Lors de missions réalisées chez nos clients, lorsque le phishing est abordé, nous avons pu constater deux phénomènes :

  • La réticence : réaliser une campagne de phishing interne fait peur.

Cette réticence peut venir des ressources humaines ou de la communication (qui craignent la réaction des collaborateurs) mais également des équipes de sécurité, qui souffre déjà d’un déficit d’image ; la sécurité informatique étant souvent perçue comme un frein à l’activité.

  • La mauvaise utilisation de ce vecteur : la population ciblée doit être large.

Réaliser une campagne de phishing est relativement simple, de nombreux outils ou services managés étant disponibles sur le marché. Mais si la campagne est réalisée de façon unitaire, il y a de fortes chances pour qu’elle soit inutile. En effet, il ne faut pas oublier que la campagne de phishing doit faire partie intégrante d’un plan de sensibilisation, dont l’objectif est de faire monter les collaborateurs en compétences, et non juste de pointer leurs lacunes à un instant T.

Ce constat nous a amenés à réfléchir à la problématique suivante : comment réussir une campagne de phishing ?

Les actions à mener en amont de la campagne

  1. Construire un plan de sensibilisation avant de planifier une campagne de phishing

La sensibilisation des utilisateurs ne doit pas reposer sur un seul vecteur, et ce pour plusieurs raisons :

  • Nous n’apprenons pas tous de la même façon.
  • Diffuser le même message via des vecteurs différents permet de susciter l’intérêt.
  • La campagne de phishing est plutôt un vecteur de contrôle qu’un vecteur d’apprentissage.

Ainsi, il faut s’assurer que la campagne sera précédée et suivie d’autres actions qui permettront aux collaborateurs d’appréhender le risque phishing, de savoir comment le détecter et comment y réagir.

  1. Prévenir les collaborateurs

D’instinct, les entreprises ont tendance à ne pas communiquer sur la réalisation d’une campagne de phishing, de peur de fausser les résultats : c’est une erreur !

Ne pas communiquer en amont, c’est prendre le risque de frustrer les collaborateurs et de faire naître de la résistance vis-à-vis de la cybersécurité. Il est important d’être transparent sur l’existence des tests comme sur les raisons de ces tests : aider les collaborateurs à progresser et à participer à la défense du patrimoine de l’entreprise. L’objectif étant d’obtenir un état d’esprit d’union collective contre le risque phishing et non une opposition des collaborateurs contre une équipe sécurité. C’est d’ailleurs l’une des raisons pour laquelle dire que le problème est « entre la chaise et le clavier » est contreproductif. De plus, les prévenir peut également permettre d’augmenter leur vigilance au quotidien.

  1. Prévenir le management

Il est également nécessaire de s’assurer du soutien du management. Celui-ci ne doit pas être évincé de la campagne : les collaborateurs se sentiront davantage concernés s’ils voient que c’est un enjeu stratégique pour la direction. Pour cela, le comité exécutif peut participer à la communication des résultats ou à des communications sécurité.

  1. Choisir un scénario adapté
  • Ne pas viser trop haut: En tant que professionnels de l’IT ou de la sécurité, nous sommes généralement mieux formés à la détection du phishing, ce qui nous mène souvent à créer des emails de phishing trop aboutis. Il est préférable de commencer avec des emails simples et de monter peu à peu en complexité. Un email trop complexe pourrait également décourager les collaborateurs.
  • Ne pas choisir un scénario affolant : Le choix du scénario est primordial, il faut s’assurer d’être attractif et de donner envie à l’utilisateur de cliquer, sans pour autant être trop alarmiste. Par exemple, un email concernant une réorganisation salariale pourrait stresser les collaborateurs et engendrer trop d’émotions.
  • Ne pas diviser la campagne : Il n’est pas forcément nécessaire d’envoyer des mails différents à des groupes ciblés car cela dilue les statistiques.

 

Les actions à mener en aval de la campagne

  1. Ne pas sanctionner ou dévoiler les collaborateurs ayant été « phishés»

Il serait contreproductif de sanctionner des collaborateurs ayant été « phishés », et d’autant plus de communiquer leurs noms en interne. Au-delà de la mauvaise ambiance que ce genre de pratique instaure, le risque serait qu’à l’avenir, les collaborateurs aient peur d’alerter en cas de doute sur un email, ou en cas d’incident de sécurité, par peur d’être sanctionnés. Ce qui est totalement à l’inverse de la culture sécurité que nous essayons de développer : vigilance et alerte.

Même une sanction relativement « saine » comme l’obligation de suivre une formation en cas d’erreur lors d’une simulation n’est pas recommandée : les collaborateurs verraient la formation comme une punition et elle ne serait pas forcément efficace.

À l’inverse, il peut être envisageable de récompenser le département ayant le mieux réussi le test : cela instaure un esprit de compétition bienveillante entre les salariés. Certains pourraient avancer le fait que cela pourrait fausser le test, les collaborateurs s’avertissant entre eux de la présence d’un email de phishing. En réalité, ce risque demeure assez minoritaire.  Même si les collaborateurs s’avertissent entre eux, cela les fait parler du phishing et de la façon dont ils l’ont détecté : c’est un des effets recherchés !

  1. Communiquer les résultats

En les rendant anonyme, il est primordial de communiquer sur les résultats. Une communication alarmiste desservirait le propos : le marketing de la peur ne fonctionne pas. La communication doit inclure une explication sur les moyens de détection du phishing, ou un lien de redirection vers un espace dédié.

  1. Ne pas se focaliser sur les statistiques

L’un des avantages de la campagne de phishing (et c’est ce qui fait sa popularité), c’est qu’elle permet d’obtenir des résultats mesurables. Cependant, il ne faut pas tomber dans le piège des chiffres et se focaliser sur le nombre d’utilisateurs « phishés » :

  • Les conditions de la simulation peuvent difficilement être identiques à chaque campagne (l’objet de l’email change, il pourrait être moins attirant pour les collaborateurs, la période de l’année peut être plus ou moins propice, etc.). Il n’est donc pas forcément adapté de comparer une campagne à une autre.
  • L’objectif étant de faire monter en compétences les utilisateurs, il est conseillé de complexifier petit à petit les emails. Avoir un ratio d’utilisateurs « phishés» constant n’est pas problématique si la complexité des e-mails est différente. Il serait simple d’obtenir des statistiques positives en diminuant la complexité de l’email, et pour autant, le risque serait d’autant plus présent.

L’un des indicateurs qu’il est particulièrement important de regarder est le taux d’alerte. C’est ce que nous attendons des utilisateurs : qu’ils alertent en cas d’email suspect. Pour cela, il est intéressant d’inclure le support IT dans la préparation de la simulation, en même temps que le management.

  1. Former les collaborateurs et… recommencer !

Une fois la campagne terminée, et les résultats diffusés, il faut continuer de sensibiliser les utilisateurs aux risques phishing. Pour s’assurer que les actions de sensibilisation mises en place sont appréciées et acquises par les collaborateurs, il faut consolider des indicateurs d’adhésion. Si ces derniers ne sont pas satisfaisants, nous pouvons alors adapter les vecteurs de sensibilisation choisis.

D’ailleurs, pour que les messages transmis soient plus impactants, nous conseillons toujours de faire des parallèles entre la vie personnelle et professionnelle. C’est d’autant plus vrai à propos du phishing qui cible aussi bien les professionnels que les particuliers. Enfin, pour plus d’efficacité, il est nécessaire d’effectuer régulièrement des simulations. Une fois que les résultats de la simulation s’améliorent, le niveau de complexité peut être augmenté.

Conclusion : se concentrer sur la sensibilisation

Pour conclure, il semble important de revenir sur le fait que la campagne de phishing est un outil qui ne doit pas être utilisé comme action de sensibilisation : c’est avant tout un vecteur de contrôle. De plus, les menaces évoluant sans cesse, la sensibilisation des collaborateurs doit suivre un processus d’amélioration continue. Au moyen d’actions de sensibilisation régulières et variées, les collaborateurs seront en capacité de monter en compétences sur ces sujets.

En outre, des vecteurs de contrôle comme la campagne de phishing doivent être utilisés pour s’assurer de l’efficacité de la stratégie de sensibilisation. Toujours dans un esprit d’amélioration continue, ils doivent aussi adresser les nouvelles menaces : smishing (phishing SMS), vishing (par téléphone), contamination des clés USB, etc.

 

Notes

*Verizon 2019 Data Breach Investigations Report

Partager l'article