Simulations de phishing : La fréquence et le moment sont essentiels
Mantra Team
Quelle est la bonne fréquence et le bon moment pour vos campagnes de simulation de phishing ?
Quelle est la bonne fréquence et le bon moment pour vos campagnes de simulation de phishing ?
Quelle est la bonne fréquence et le bon moment pour vos campagnes de simulation de phishing ?
Nous avons publié un article avec 10 recommandations pour conduire la formation des équipes contre le phishing par le biais de simulations de phishing. Vous avez été nombreux à le commenter, et deux questions revenaient souvent sur la fréquence et le timing :
- Combien de simulations faut-il faire par an pour chaque utilisateur ? A partir de quand des vrais résultats se dégagent ils ?
- Peut on faire des simulations à tout le monde de la même façon et au même moment ?
Pour répondre à ces questions, nous avons fait appel à notre équipe data et nous nous sommes plongés dans l’historique de nos campagnes de simulation de phishing.
L’objectif de cet article : vous apporter les éléments d’information pour améliorer vos campagnes de formation et sensibilisation à la cybersécurité et vous aider à protéger vos équipes contre le phishing.
Quelle est la bonne fréquence pour vos simulations de phishing ?
Que peuvent nous apprendre les neurosciences ?
Pour comprendre quelle est la bonne fréquence pour des simulations de phishing, on peut jeter un oeil du côté des neurosciences.
D’un point de vue biologique, l’apprentissage est un remodèlement physique du cerveau.
Apprendre quelque chose de nouveau créée des connexions entre neurones. Pour schématiser, c’est comme créer un chemin entre un neurone A et un neurone B.
Plus on s’entraîne, et plus ce chemin se transforme, devient efficace : il passe d’un petit sentier à une autoroute (c’est par exemple le cas pour la “mémoire musculaire” des sportifs).
Inversement, si elle n’est pas utilisée, cette route s’estompe et peut même disparaître, de la même manière qu’une forêt qui n’est pas traversée ou entretenue va voir ses chemins grignotés par les arbres et les plantes. Le cerveau est simplement en train de se reconfigurer pour privilégier ce qui lui sert.
Par conséquent, si l’objectif de votre programme de simulation de phishing est de développer chez les utilisateurs un muscle “réflexe” d’analyse des emails et d’évaluation du risque qu’ils comportent, il faut entretenir souvent cet effort par la simulation.
Que peuvent nous dire les données ?
Empiriquement chez Mantra, nous constatons qu’une fréquence d’une simulation par mois permet d’obtenir rapidement des résultats.
Le graphique ci-dessous montre l’évolution du taux de clic sur les simulations de Mantra dans 4 entreprises (anonymes) en fonction du nombre de simulations reçues par les équipes (un nouvel arrivant dans l’entreprise n’aura reçu qu’une ou deux simulations alors que quelqu’un qui est là depuis le début du programme aura reçu environ une simulation par mois).
On constate que le taux de clic, qui est un indice de l’analyse des menaces par les équipes, baisse sensiblement (-63% en moyenne) en fonction du nombre de simulations reçues.
“J’ai créé 8 lois d’apprentissage : l’explication, la démonstration, l’imitation et la répétition, la répétition, la répétition, la répétition et la répétition” a dit le grand coach de basketball John Wooden.
Un email par mois n’est d’ailleurs pas un fréquence trop contraignante pour les équipes : si on considère qu’une personne reçoit en moyenne 100 emails par jour, une simulation de phishing par mois ne représente que 0.05% des emails reçus dans un mois…
Quel est le meilleur timing pour vos campagnes de simulation de phishing ?
Les envoyer au même moment ?
C’est une autre question qui revient souvent sur la thématique de la simulation de phishing : peut on se contenter d’envoyer le même email de simulation au même moment à toutes les équipes ?
Cette question est parfaitement compréhensible et légitime, étant donné qu'un certain nombre d'outils (ceux qui nécessitent une sélection manuelle des emails de simulation et des cibles) ne permettent pas vraiment d'alternative.
Et c’est déjà un bon début, qui permettra d’avoir des premières informations sur la performance des équipes.
Mais pour nous ce n’est pas suffisant : ce n’est pas ce que font les hackers lors de campagne de spear-phishing, et ce n’est pas efficace pour entraîner véritablement les équipes.
En effet, les hackers procédent habituellement avec un ciblage plus sophistiqué :
- Thomas, de la comptabilités, recevra un phishing du logiciel Payfit qu’il utilise, avec le nom du CFO de l’entreprise
- Camille, des équipes IT, recevra un phishing de Microsoft Azure, ou une alerte Sentry
- Et Alex, des équipes commerciales va recevoir un faux appel d’offre d’un faux client potentiel
Certains groupes de d'Initial Access Brokers (Fournisseurs d’Accès Initial) comme Exotic Lily poussent même la personnalisation à créer des faux profils LinkedIn… Et s’appuient massivement sur les données disponibles publiquement pour personnaliser leurs attaques de phishing et spear-phishing (OSINT).
Une étude de cas
Ensuite, nous avons constaté que cela fonctionnait moins bien lors des campagnes de test de phishing.
Un client qui conduisait un envoi massif d’un scénario pour ses 1500 employés a vu le taux de compromission monter en flèches dans les premières minutes du test de phishing (en l’occurrence, il s’agissait de récolter les identifiants des équipes) avant de rapidement plafonner :
En effet, lorsqu’ils ont reçu la simulation de phishing (et lorsqu’ils se sont fait piéger - ou l’ont détectée), les collaborateurs en ont normalement discuté : dans l’open space, aux machines à café, sur Slack ou Teams… L’effet de surprise n’a pas duré bien longtemps.
Et tous ceux qui étaient “avertis” n’ont pu bénéficier des avantages de la simulation.
Il vaut mieux donc envoyer - si c’est possible - des simulations de phishing différentes, à des moments différents, aux différents collaborateurs.
Conclusion
Ce sont ces éléments qui ont conduit Mantra a faire le choix d’un outil automatisé qui envoie de manière mensuelle des simulations de phishing aux employés.
Celles-ci sont personnalisées avec les outils utilisés par les équipes, les personnes du comex, les clients de l’entreprise pour répliquer les techniques de spear-phishing que déploieraient des hackers en s’appuyant sur de l’OSINT.
Elles sont envoyées à des moments différents (et pour des scénarios différents) à tous les membres de l’équipe et font varier les payloads pour sensibiliser les collaborateurs à la cybersécurité.
Plus de 100 DSI et RSSI nous font confiance pour leurs simulations de phishing, cliquez-ici pour votre campagne de phishing démo
Oups ! Un problème est survenu lors de la soumission du formulaire.
Plus de lecture
Les techniques de contournement des anti-spam
Les techniques de contournement des anti-spam
Les techniques de contournement des anti-spam
Comment les hackers contournent les anti-spam
Les anti-spams sont des outils efficaces ! Mais les hackers se sont adaptés pour les contrer et ont mis au point des techniques pour les contourner et mener à bien des campagnes de phishing.
Mantra Team
Conditional Access : comment les hackers peuvent passer la protection de Microsoft Azure AD
Conditional Access : comment les hackers peuvent passer la protection de Microsoft Azure AD
Conditional Access : comment les hackers peuvent passer la protection de Microsoft Azure AD
Comment les hackers contournent le Conditional Access de Microsoft Azure AD
L'accès conditionnel de Microsoft Azure AD est un outil formidable ! Mais hackers a trouvé des moyens de le contourner. Voici comment.
Mantra Team