Les victimes d’attaques de phishing ont doublé entre 2019 et 2020. Et pourtant, encore trop souvent, quand les utilisateurs pensent au phishing ils s'imaginent un email de type "scam de prince nigérian".  

Le problème c’est que les hackers ont bien progressé ! Les emails ne sont plus faciles à détecter et les attaquet se font maintenant via du spear-phishing ciblé et personnalisé. Comment, dans ces conditions, former ses équipes à détecter ce type d’attaques de manière efficace ? Comment conduire ses campagnes de simulation de phishing ? 

Cet article présente 10 recommandations pour conduire des formations qui diminuent significativement et durablement la vulnérabilité d’une entreprise aux attaques de phishing. De manière générale, il y a deux grandes thématiques : A. il faut former ses utilisateurs en conditions réelles en simulant ce que feraient les hackers et B. il faut maintenir un niveau d’implication fort.

Phishing : ce à quoi les gens pensent et ce à quoi cela ressemble vraiment.

1. Comprendre que le contexte est roi

Les utilisateurs doivent être formés en conditions réelles en leur soumettant des simulations qui répliquent les attaques que des hackers utiliseraient. Les hackers peuvent facilement obtenir des informations (noms des dirigeants, clients, logiciels…) et les incorporer dans leurs attaques : les simulations doivent donc faire de même.

  •  Software : La nature de la suite email, de l’antispam, ou des logiciels que vous utilisez peut être déterminée relativement facilement (en regardant les offres d'emploi sur LinkedIn par exemple) : des attaques qui se font passer pour ces sources auront une bien plus grande chance de succès. 
  • Usurpation d'identité : Une attaque qui se fait passer pour des membres du COMEX (ou pour le dirigeant) sert à légitimer un message et induire en erreur la cible.    
  • Clients et fournisseurs clés : Les utilisateurs ont l’habitude d’interagir avec les clients et fournisseurs clés, et baissent potentiellement leur garde quand ils reçoivent des communications de ces personnes.

2. Utiliser des attaques ciblées 

Les hackers vont conduire des attaques de spear-phishing qui seront spécifiques à des départements et rôles dans une entreprise, avec des mails ciblés propres à chaque utilisateur. Les simulations de phishing devraient donc être faites sur-mesure pour chaque équipe. Par exemple, envoyer une simulation Github à quelqu’un dans le département RH n’aurait pas beaucoup de sens, tout comme envoyer au Marketing un ticket AWS.   

Les hackers ne feraient pas ces erreurs lors d’une attaque déterminée, et les simulations ne devraient pas non plus.

3. Rendre les simulations uniques à chaque utilisateur

Le fait d’envoyer le même email de simulation, au même moment, le même jour, à tous les employés ne reflète pas du tout le schéma d’une attaque de phishing. En plus, cela réduira l'efficacité de la campagne : si les collaborateurs discutent de la simulation autour de la machine à café, l'effet de surprise disparaît.  

Les vraies attaques sont personnalisées, elles s’appuient sur des reconnaissances préalables d’éléments disponibles dans le domaine public (OSINT en anglais), et sont spécifiques à chaque équipe. Pour simuler cela, vos utilisateurs doivent voir des simulations qui leurs sont propres, c’est à dire : 

  • Envoyer des simulations à des jours différents , à des heures différentes, même au sein d’une équipe donnée
  • Envoyer des simulations de différentes attaques et de scénarios différents à chaque utilisateur pour chaque campagne

4. S'entraîner pour tous les scénarios

Il est évident - mais cela mérite néanmoins d’être souligné - que pour être efficace une formation doit être variée. Vous souhaitez que vos utilisateurs puissent rapidement détecter une multitude de vecteurs d'attaque, et pas seulement le mail que votre équipe IT envoie tous les trimestres. 

Il y a de (très) nombreux moyens de piéger les utilisateurs dans une attaque de phishing :

  • Demandes de réunions
  • Permissions pour des applications
  • Renouvellement des credentials
  • Mises à jour de logiciels
  • CV de candidats
  • Notifications des réseaux sociaux...

Et la liste est encore longue. Pour que la formation contribuer à protéger l'entreprise en changeant les habitudes des collaborateurs, ils doivent en voir le plus possible.

5. Faire découvrir aux utilisateurs les différents payloads

Les hackers utilisent diverses types de format d'attaque ("payload"), pour compromettre l'entreprise, que ce soit en installant des malwares ou en récupérant des identifiants (par exemple). Vos utilisateurs doivent, là encore, en voir le plus possible pour se familiariser avec : 

  • Clic : La version la plus classique de la simulation de phishing, dans laquelle on teste si l’utilisateur clique sur le lien présent dans l’email (dans la réalité cela pourrait les entraîner sur des sites malveillants qui exécuteraient du code à l'ouverture de la page) 
  • Pièce jointe : Les hackers sont devenus maîtres dans l’art de cacher des malware dans des pièces jointes (comme par exemple des fichiers Excel avec macros), et le taux d’ouverture de pièces jointes est encore très élevé lors d’attaques de spear-phishing s'appuyant sur une reconnaissance de la cible et sur des ressorts psychologiques.
  • Credentials : L’objectif des hackers est de collecter l’identifiant de l’utilisateur et son mot de passe, pour les utiliser ou voler un token de session.
  • Téléchargement: Un autre payload utilisé pour déployer des malware, cette attaque cherche à convaincre l’utilisateur de télécharger un fichier (sous couvert d’une mise à jour de logiciel par exemple). Dans ce scénario, une fois que les utilisateurs ont décidé de suivre le lien qui leur est proposé, la probabilité qu'ils téléchargent le fichier est élevée.  
  • Permission: Une forme d’attaque de plus en plus courante, l’utilisateur qui est piégé va accorder des permissions à une application tierce contrôlée par les hackers.

6. Utiliser les mêmes pièges psychologiques que les hackers

Les hackers, ou, au moins, ceux qui créent les attaques de spear-phishing, sont des experts en psychologie. 

En effet, la réussite de leurs attaques repose sur leur capacité à convaincre leur cible de prendre une action qui est contraire à ses intérêts, et ce en opérant dans un environnement où le plus souvent les risques liés à la cybersécurité sont évoqués de manière régulière. 

Pour former de manière efficace vos équipes il faut adopter la même approche : les utilisateurs doivent donc être exposés à des attaques qui simulent ces pièges psychologiques. Il peut s'agir, par exemple, des ressorts suivants :

  • L'urgence
  • La curiosité et l'appât du gain
  • La peur
  • L'autorité

7. Fréquence fréquence fréquence

Ne formez pas vos utilisateurs une fois par an! De trop nombreuses entreprises ne conduisent que quelques campagnes de simulation par an (souvent parce qu’il faut les paramétrer manuellement). Le problème avec cette approche est qu'elle ne permet pas de changer durablement les comportements des utilisateurs. Les gens sont très sollicités et il faut du temps pour que les réflexes prennent racine. Conduire des campagnes de simulation peu fréquemment implique en outre que les utilisateurs ne sont pas exposés régulièrement à des scénarios et situations variés, et qu’ils ne sont pas à jour des dernières tactiques utilisées par les hackers.  

C’est pour cela que les campagnes de simulation doivent être conduites fréquemment, au moins une fois par mois, afin que les utilisateurs restent alertent et impliqués et qu'ils adoptent les réflexes requis pour protéger l'entreprise. 

La meilleure façon de mettre en place ce système de manière fonctionnelle est d'automatiser l'ensemble du processus : de la sélection de modèles parmi un large éventail d'options à la simulation de différentes attaques, à différents moments, chaque mois, pour chaque utilisateur de l'entreprise. S'appuyer sur des options manuelles ne peut que diminuer l'efficacité à court, moyen et long terme des campagnes.  

8. Donner à chaque utilisateur de la visibilité sur ses résultats

Vos utilisateurs ont beoin d'avoir de la visbilité sur leur performance individuelle au fur et à mesure qu'ils reporteront les emails de simulation que vous leur enverrez. Pour rester motivés, ils ont besoin de pouvoir voir comment ils performent. Les utilisateurs et les équipes ont donc besoin de dashboards de reporting personnalisés afin de pouvoir suivre leurs progrès. Attention, trop souvent, les outils de simulation ne fournissent que des résultats agrégés qui ne parlent pas aux utilisateurs et ne les motivent pas. 

Il est bien sûr important que les administrateurs aient accès à des données granulaires, afin de pouvoir cibler les utilisateurs en difficulté pour leur fournir un complément de formation adapté. Mais cela ne suffit pas du point de vue de l’implication des utilisateurs : vous formez vos collaborateurs, ils ont besoin de savoir, chacun, quelle est leur performance.

9. Rendre l'exercice amusant 

Et pourquoi pas? Les études montrent que les formations qui s’appuient sur la gamification pour susciter de l’engagement ont de meilleurs résultats que les options plus traditionnelles. Modifier durablement des comportements bien ancrés peut avoir un côté rébarbatif, alors que jouer est quelque chose que nous apprécions tous depuis l’enfance.

Utiliser la gamification pour changer le discours en s’appuyant sur l’émulation, les récompenses et la visualisation du progrès personnel produit des bénéfices en termes d’implication des utilisateurs. Cela permet aussi d’envoyer le message que ces simulations ne cherchent pas à piéger les collaborateurs, et que les emails qu’ils reçoivent dans le cadre des campagnes sont simplement là pour leur permettre de s’entraîner (c’est d'ailleurs pour cette raison que les sujets trop sensibles, comme les augmentations ou le covid sont à bannir des simulations). 

Une bonne manière d'assurer l'engagement des équipes est donc de rendre la formation en cybersécurité amusante, en intégrant des composantes de gamification aux outils de simulation.

10. Changer durablement les habitudes

La formation a pour but de changer durablement des comportements bien ancrés (le fait de cliquer sur liens et de faire confiance aux emails que nous recevons). Se contenter d’insister auprès des collaborateurs, ou de les informer via des vidéos ou des présentations, sur l’importance de ne faire différemment ne fonctionne pas. Pour modifier avec succès ces habitudes et les remplacer par de nouvelles (être sur ses gardes et évaluer les emails reçus, reporter ceux qui sont suspects), il faut que l’environnement de simulation que vous mettez en place soit engageant, dynamique et leur fournisse un outil de signalement des menaces facile à utiliser.

Enfin, n’oubliez pas d’informer les utilisateurs qui ont signalé une menace du statut de cette alerte, même s’il ne s’agit pas d’une attaque de phishing. C’est valorisant pour les utilisateurs de savoir que leurs efforts sont appréciés, et cela les encouragera à continuer à signaler les mails pour lesquels ils ont un doute. 

Rendez vos équipes meilleures que les hackers ! 

Pour résumer, une formation efficace doit émuler autant que possible les conditions réelles des attaques de phishing tout en suscitant de l'engagement de la part des équipes. 

Les simulations doivent donc être conduites fréquemment, présenter des éléments spécifiques à chaque utilisateur et offrir des scénarios variés (bon software, usurpations d’identité, payloads différents, éléments psychologiques…). Elles doivent aussi être amusantes et permettre de modifier durablement les habitudes.

Mantra aide les entreprises à parvenir à cet objectif en leur fournissant un moteur de simulation automatisé qui leur permet de libérer du temps pour leurs équipes IT tout en assurant une protection de premier ordre contre le phishing.