Le Phishing est utilisé depuis de nombreuses années par les pirates.
Cependant, cette technique d’hameçonnage s’est perfectionnée avec le temps, tant sur la forme de ces faux e-mails, que sur les scénarios qui sont de plus en plus élaborés. Aujourd’hui, le phishing est également le premier vecteur de contamination d’une nouvelle cybermenace en pleine expansion : les ransomwares (ou rançongiciels).
Ces malwares qui réclament une rançon en échange de vos données contaminent chaque jour des milliers d’ordinateur. Face à ces menaces et plus largement pour contrer les techniques dîtes « d’ingénierie sociale » utilisées par des personnes malveillantes, il devient indispensable de sensibiliser ses collaborateurs pour limiter l’exposition de son organisation aux nouveaux risques cyber.
Notre offre
Notre outil BlueSecure est une solution en ligne entièrement automatisée qui vous permet de lancer et piloter en toute autonomie votre campagne de test de phishing. Cette solution clé en main, vous propose les fonctionnalités suivantes : Conception de la campagne, import des adresses e-mails, programmation des campagnes et remontée des statistiques. Notre plateforme intégrée vous permet de gérer à la fois la campagne de test et la campagne de sensibilisation en e-learning. Au choix 3 scénarios
- Message simple avec lien vers une page d’erreur ou un site quelconque
- Message élaboré avec lien vers une page web contenant des champs de saisie par ex. : login et mot de passe
- Message contenant une pièce jointe
Un assistant de configuration vous accompagne dans la création de la campagne, en automatisant un maximum d’actions.
Utilisation d’un scénario sur étagère ou création d’un modèle d’email personnalisé :
Utilisation d’un modèle de page web de destination sur étagère ou import d’un gabarit html personnalisé :
Import des adresses e-mail ciblées (copier/coller depuis Excel) :
Programmation de la campagne entièrement personnalisable : Nom de la campagne, objet de l’e-mail, nom du contact de l’e-mail, intégration d’une pièce jointe…
Dashboard des statistiques
Notre proposition de démarche en 3 étapes
- Lancement d’une campagne test de phishing pour réaliser un état des lieux du niveau de sensibilisation des collaborateurs
- Présentation des résultats et formation des collaborateurs
- Réalisation d’un test à posteriori afin de mesurer l’efficacité de la campagne de formation et re-sensibiliser le cas échéant
1- Campagne de faux phishing ciblée
Objectif : Tester les réactions des collaborateurs suite à l’envoi d’un e-mail de Phishing.
- Création d’une campagne : Nom de la campagne, Objet de l’e-mail, nom du contact de l’e-mail…
- Utilisation d’un modèle d’e-mail sur étagère ou création d’un modèle personnalisé
- Utilisation d’un modèle de page web sur étagère ou import d’un gabarit html personnalisé
- Intégration d’une pièce jointe
- Import des adresses e-mail ciblées
- Envoi d’un e-mail de test
- Programmation des campagnes
- Dashboard des statistiques
Exemples de scénarios
Contexte professionnel
- Devis, facture, suivi de livraison, douanes, virement, ordre de fabrication, plans, confirmation de commande ou formulaire à remplir
- Remboursement de trop-perçu….
Problème technique
- Boite e-mail saturée
- Mot de passe expiré
- Échec de la remise de courrier
- Proxy interne / VPN
- Contamination ou mise à jour…
Contexte personnel
- Confirmation de commande e-commerce
- E-mail opérateur téléphonique, banque, électricité, mutuelle…
- Trop-perçu impôts
- Chantage avec demande de rançon
- Achat d’une application mobile sur un store…
2 – Bilan et formation
Présentation des statistiques. Indicateurs clés accessibles en temps réel :
- Nombre d’e-mail envoyés
- E-mails reçus
- E-mails ouverts
- Clics sur le lien
- Données soumises sur le site web
- Pièce jointe ouverte
- Nombre d’hameçonnage réussis
Vision des statistiques par groupe et campagne.
Sensibilisation des collaborateurs
Animation d’une formation de sensibilisation en e-learning ou présentiel à destination des collaborateurs. Approche en entonnoir : Qu’est-ce que le phishing > Les conséquences > Comment identifier et gérer les e-mails suspects ? > Les bonnes pratiques au quotidien
Objectifs de la formation :
- Identifier les différentes formes de phishing et d’attaques d’ingénierie sociale
- Reconnaître et gérer les e-mails suspects
- Appliquer au quotidien les bonnes pratiques et mesures de prévention
- Comprendre les enjeux des pirates et les conséquences d’un malware
- Mettre en œuvre les bons réflexes en cas de contamination
3- Évaluation de l’efficacité de la sensibilisation
- L’acquisition des bons réflexes peut prendre du temps. Après avoir réalisé un état des lieux et formé les collaborateurs, il est nécessaire d’évaluer l’efficacité de l’action de sensibilisation.
- Lancement d’une nouvelle campagne de phishing trois ou six mois après, auprès du même public.
- Analyse des statistiques détaillées. Identification des départements les plus à risque.
- Le cas échéant, déploiement d’un e-learning complémentaire en guise de « piqûre de rappel ».