Blog GlobalSign

08 sept. 2017

Test de simulation d’attaque de phishing : exemple de pratique en vigueur chez GlobalSign

À l’heure où les cyberattaques se multiplient, les entreprises luttent pour tenir leurs lignes de défense. Elles musclent un arsenal technologique en constante évolution afin de barrer la route aux hackers. Conséquence : l’Homme est devenu le principal point de vulnérabilité.

Prenons l’exemple d’un salarié qui ouvre en toute bonne foi un message personnel pendant sa pause déjeuner et clique sur un lien qui renvoie vers un site de hameçonnage (ou « phishing »). Ou encore, le collaborateur des Ressources humaines qui, en ouvrant un e-mail libellé « Contrat », s’aperçoit que le document Word est en fait un script caché qui lance un logiciel de rançonnage. Quelles que soient les circonstances préalables, dans la plupart des cas, c’est une main innocente qui est à l’origine de l’attaque.

Rassurez-vous, vous n’êtes pas les seuls concernés. D’après un article de Dark Reading, près de 20 % à 30 % de vos collaborateurs cliqueront sur le lien d’un e-mail de phishing. Ça fait beaucoup !

Dans l’espoir de ramener ce nombre à 0 %, je me suis inspiré des tests que nous avons réalisés ici chez GlobalSign pour rédiger ce guide des tests de simulation de phishing. Depuis plus d’un an maintenant, notre Responsable de la sécurité des systèmes d’information, Jeremy Swee, sensibilise et forme nos équipes aux subtilités des tactiques de phishing. En tant qu’entreprise de cybersécurité, nous prenons ces sujets au sérieux — nous représentons donc un excellent cas d’école dont vous pouvez vous inspirer !

Avant de commencer...

Avant tout test de simulation de phishing dans votre entreprise, vous devez commencer par planifier un programme de formation initial. Ce premier volet de formation sera dispensé à tous les collaborateurs en poste, puis aux nouvelles recrues dès leur arrivée dans l’entreprise (et idéalement avant qu’elles n’accèdent à leurs comptes de messagerie).

N’oubliez pas de créer une adresse e-mail du type : signalement-phishing@votreentreprise.com que tout collaborateur craignant d’avoir reçu un e-mail de phishing pourra utiliser. Expliquez la procédure et équipez vos collaborateurs du matériel nécessaire pour signaler un e-mail de phishing.

Les scénarios

Première étape d’un bon test de simulation de phishing : la planification. Il est inutile d’inonder vos collaborateurs de tests de phishing, cela ne ferait qu’annuler l’effet de surprise. Mais attention à l’inverse : des tests trop occasionnels vous priveraient de statistiques pertinentes pour l’établissement de votre rapport.

Évitez également d’envoyer vos e-mails de tests de hameçonnage à tous vos collaborateurs en même temps : cela ne ferait qu’attirer les soupçons. Nous envoyons généralement une simulation de phishing par mois à un groupe test d’employés.

L’étape suivante consiste à élaborer les scénarios de vos e-mails de phishing et à planifier leurs envois sur 12 mois. Inutile de tout planifier au millimètre. Certains tests plus ponctuels seront menés en fonction de l’actualité, d’autres s’inspireront d’authentiques e-mails de phishing que vous aurez vu passer ou que l’on vous aura signalés.

Vous devez à ce stade commencer à vous mettre dans la peau des hackers derrière les attaques de phishing. Quels e-mails convaincraient vos collaborateurs de cliquer ? Comment duper vos collaborateurs pour qu’ils cliquent ?

Voici quelques exemples de tests réalisés l’an passé chez GlobalSign.

Le test « Nous ne paierons pas »

PhishingEnvoyez un e-mail de phishing aux départements en charge de la facturation. Utilisez un ton qui traduit la colère pour induire un sentiment d’urgence chez vos collaborateurs et les pousser à agir à la hâte. Les auteurs d’e-mails de phishing ont souvent recours à ces techniques pour inciter les destinataires à cliquer ou télécharger les pièces jointes.

La leçon à retenir : vos équipes doivent scruter avec attention l’adresse de l’expéditeur. Si elles ne reconnaissent ni le nom ni la société, le ton pressant du message ne doit en aucun cas les forcer à agir à la hâte.

Le test « En cadeau, gratuitement pour vous »

Phishing simulation - get something for free

L’approche du « cadeau gratuit » est un autre stratagème psychologique utilisé par les hameçonneurs. Qui n’a pas envie de recevoir un cadeau ? Difficile de résister et de ne pas cliquer, non ?

Vos collaborateurs doivent apprendre que la « gratuité » a toujours un coût. Tout e-mail qui propose un cadeau doit être considéré comme suspect. Le simple fait de survoler les liens contenus dans l’e-mail révèle des informations suspectes — d’où l’importance, dans ce type d’e-mail souvent malveillant, de ne jamais cliquer sur les liens.

Le test en rapport avec un « sujet d’actualité »

phishing simulation - topical news test

Un e-mail sur un sujet d’actualité suffit à ouvrir le débat dans tous les bureaux. Ces derniers temps, dans les bureaux britanniques de GlobalSign, le Brexit était sur toutes les lèvres. C’est donc le moment idéal pour simuler une attaque de phishing.

Nous comptions sur le fait que les salariés ne reconnaîtraient pas l’adresse de l’expéditeur et que le lien contenu dans l’e-mail éveillerait leurs soupçons. Nous n’avons pas pour habitude de communiquer sur ce genre d’événements en interne aussi, un tel message aurait pu attirer l’attention d’un collaborateur présent dans l’entreprise depuis suffisamment longtemps pour savoir à quoi s’en tenir.

Le test du « phénomène de mode »

phishing simulation - topical news test

Qui n’a pas joué à Pokemon Go à la sortie de ce jeu sur smartphone ? Je suis certain que dans votre entreprise, au moins une personne faisait la chasse aux Pokemons pendant sa pause déjeuner. Dès qu’un phénomène de mode apparaît, et se propage jusque dans l’entreprise, les adeptes du phishing n’hésiteront pas à l’exploiter pour pénétrer dans votre système de défense.

Normalement, les collaborateurs devaient s’apercevoir que l’adresse de l’expéditeur ne correspond à aucune adresse interne et que le lien est suspect.

Reporting et formation

Les bons outils de simulation de phishing proposent généralement une fonction de reporting. Quelques statistiques importantes à suivre : le taux d’ouverture d’e-mails individuel, les taux de clic et le nombre de personnes à avoir signalé l’incident via la procédure communiquée avant le début des tests.

La baisse attendue du taux tendanciel de clics devrait normalement s’accompagner d’une augmentation du taux tendanciel de signalements. À vous d’analyser ces résultats pour identifier le maillon faible dans votre entreprise. Observez plus précisément les départements ou les bureaux qui cliquent le plus sur les liens.

Affinez votre analyse en étudiant de plus près les personnes qui cliquent le plus sur les liens. Si quelqu’un semble régulièrement cliquer sur des liens de phishing, cette personne a peut-être besoin d’une formation individualisée avec un collaborateur du département informatique.

Ces tests de simulations de phishing ont pour principal avantage de vous permettre d’affiner et d’adapter vos formations en fonction des résultats. Ils contribuent également à une meilleure efficience dans l’entreprise dans la mesure où vous n’avez pas à former les collaborateurs qui n’en ont pas besoin.

Envoi d’un e-mail de suivi

Prévoyez d’adresser un e-mail de suivi dans les jours ou la semaine qui suit la simulation de phishing. Expliquez les raisons pour lesquelles vous avez choisi tel scénario et ce que vous attendiez de la part des collaborateurs.

Voici un exemple d’e-mail de suivi envoyé dans le cadre de notre test « Nous ne paierons pas ».

Bonjour à tous,

Le récent message de simulation de phishing (ou hameçonnage) envoyé le 20 décembre 2016 s’inspirait d’un véritable e-mail de phishing qui nous avait été signalé par l’un de nos collègues. Ce message de hameçonnage avait été créé dans un format jusqu’alors inédit pour nous.

phishing simulation - follow up email

L’e-mail de phishing ressemblait à la réponse à un e-mail que vous auriez pu écrire, le but de l’auteur était de réduire les soupçons du destinataire.

Certains signes évocateurs d’un hameçonnage méritent d’être mentionnés :

  • L’usage de termes vulgaires destinés à « choquer » le destinataire et lui faire ressentir une certaine urgence
  • Le lien qui semble suspect

De nombreux collaborateurs nous ont indiqué avoir vérifié dans leurs messages envoyés, et nous ont confirmé n’avoir jamais communiqué avec l’expéditeur en question. Certains ont même poussé la vigilance jusqu’à vérifier si l’adresse e-mail de l’expéditeur figurait dans notre base de données clients Salesforce — ce qui n’était pas le cas.

Nous étions partis dans l’idée que ce scénario basé sur un e-mail de phishing bien tourné ferait un grand nombre de victimes. Or, nous avons constaté avec plaisir que la majorité de nos collaborateurs étaient au point sur ces questions : certains ayant d’eux-mêmes effectué les vérifications nécessaires avant de cliquer.

Continuez à nous écrire à l’adresse report-phishing@globalsign.com pour nous signaler les e-mails suspects, même si vous avez déjà cliqué sur les liens.

Cordialement,

Jeremy

Ce genre d’e-mails permet de faire évoluer nos collaborateurs sur le sujet.

Les bons outils

Quelle que soit l’entreprise, tout département informatique doit pouvoir s’appuyer sur un bon outil de simulation de phishing. L’envoi d’e-mails de tests permet d’entretenir la vigilance des collaborateurs sur les questions de phishing et simule toutes sortes d’environnements dans lesquels une attaque pourrait se produire.

Autre outil à avoir dans votre besace : les certificats numériques. Pensez à mettre en place des certificats numériques pour identifier et authentifier les utilisateurs dans votre entreprise. Un e-mail numériquement signé valide l’expéditeur, ce qui permet de distinguer les e-mails légitimes des imitations. En complétant cet arsenal par de la formation, vous devriez réduire le risque que des e-mails de phishing semblant provenir de collègues de travail soient ouverts.

Pour en savoir plus sur la mise en place de certificats numériques pour vos communications en interne, contactez-nous.

Partager ce blog