Phishing : Campagne de test d’hameçonnage

Un offre complète : test, bilan et formation des collaborateurs.

Le Phishing est utilisé depuis de nombreuses années par les pirates. Cependant, cette technique d’hameçonnage s’est perfectionnée avec le temps, tant sur la forme de ces faux e-mails, que sur les scénarios qui sont de plus en plus élaborés.

Aujourd’hui, le phishing est également le premier vecteur de contamination d’une nouvelle cybermenace en pleine expansion : les ransomwares (ou rançongiciels). Ces malwares qui réclament une rançon en échange de vos données contaminent chaque jour des milliers d’ordinateur.

Face à ces menaces et plus largement pour contrer les techniques dîtes « d’ingénierie sociale » utilisées par des personnes malveillantes, il devient indispensable de sensibiliser ses collaborateurs pour limiter l’exposition de son organisation aux nouveaux risques cyber.

 

Notre démarche en 3 étapes

  1. Lancement d’une campagne test de phishing pour réaliser un état des lieux du niveau de sensibilisation des collaborateurs
  2. Présentation des résultats et formation des collaborateurs
  3. Réalisation d’un test à posteriori afin de mesurer l’efficacité de la campagne de formation et re-sensibiliser le cas échéant

Notre offre

1- Campagne de faux phishing ciblée

Objectif : Tester les réactions des collaborateurs suite à l’envoi d’un e-mail de Phishing.

  • Création de plusieurs groupes. Par exemple par département de l’organisation : Service Client, Commerce, Finance, R&D, Production, Logistique…
  • Import des collaborateurs (Nom, Prénom, e-mail et fonction)
  • Choix des e-mails sur proposition de BlueLearning
  • Personnalisation du message de l’e-mail + expéditeur
  • Choix d’une page web de destination (landing page) + personnalisation de la page (texte et champs de saisie)
  • Planification et lancement des campagnes
  • Recueil des statistiques

Exemples de scénarios

Contexte professionnel
  • Devis, facture, suivi de livraison, douanes, virement, ordre de fabrication, plans, confirmation de commande ou formulaire à remplir
  • Remboursement de trop-perçu….
Problème technique
  • Boite e-mail saturée
  • Mot de passe expiré
  • Échec de la remise de courrier
  • Proxy interne / VPN
  • Contamination ou mise à jour…
Contexte personnel
  • Confirmation de commande e-commerce
  • E-mail opérateur téléphonique, banque, électricité, mutuelle…
  • Trop-perçu impôts
  • Chantage avec demande de rançon
  • Achat d’une application mobile sur un store…

2 – Bilan et formation

Présentation des statistiques.
5 indicateurs clés accessibles en temps réel :

  • Nombre d’e-mail envoyés
  • E-mails ouverts
  • Clics sur le lien
  • Données soumises sur le site web
  • Nombres d’e-mails signalés comme Phishing

Vision des statistiques par groupe et campagne.

campagne test phishing hameconnage

Sensibilisation des collaborateurs

Animation d’une formation de sensibilisation en e-learning ou présentiel à destination des collaborateurs.

Approche en entonnoir : Qu’est-ce que le phishing > Les conséquences > Comment identifier et gérer les e-mails suspects ? > Les bonnes pratiques au quotidien

Objectifs de la formation :
  • Identifier les différentes formes de phishing et d’attaques d’ingénierie sociale
  • Reconnaître et gérer les e-mails suspects
  • Appliquer au quotidien les bonnes pratiques et mesures de prévention
  • Comprendre les enjeux des pirates et les conséquences d’un malware
  • Mettre en œuvre les bons réflexes en cas de contamination

 

 

3- Évaluation de l’efficacité de la sensibilisation

 

  • L’acquisition des bons réflexes peut prendre du temps. Après avoir réalisé un état des lieux et formé les collaborateurs, il est nécessaire d’évaluer l’efficacité de l’action de sensibilisation.
  • Lancement d’une nouvelle campagne de phishing trois ou six mois après, auprès du même public.
  • Analyse des statistiques détaillées. Identification des départements les plus à risque.
  • Le cas échéant, déploiement d’un e-learning complémentaire en guise de “piqûre de rappel”.

Signalement des phishing

Lors d’une campagne de simulation de phishing, nous nous concentrons souvent uniquement sur le nombre de personnes ayant cliqué sur le lien et éventuellement soumis des informations.

Cependant, il est tout aussi utile de suivre les e-mails signalés aux administrateurs, pour affiner les statistiques et à terme encourager ce type de comportement.

Pour cela, nous proposons trois possibilités :

  • Intégrer manuellement sur la base de vos retours, les signalements remontés par les collaborateurs dans les statistiques (Par ex. : remontées par un outil interne ou une adresse e-mail interne dédiée).
  • Vous fournir un lien spécifique à intégrer dans votre extension de signalement des e-mails (add-on, formulaire ou portail interne) qui comptabilisera automatiquement les signalements.
  • Ajouter un lien/bouton en fin d’e-mail du type « Pour signaler cet e-mail comme Spam ou Hameçonnage cliquez-ici ».

Nous contacter et obtenir un devis