Avant de commencer votre programme de formation sur la sensibilisation à la sécurité, nous vous recommandons vivement d’envoyer un test de simulation d’hameçonnage non annoncé à tous vos utilisateurs. Ce test vous permettra d’établir une base de référence pour votre organisation.

Les résultats de ce test d’hameçonnage de base montreront le Pourcentage de Phish-prone (Pourcentage susceptibilité hameçonnage) de votre organisation. Le Pourcentage de Phish-prone représente le pourcentage d’utilisateurs susceptibles de cliquer sur un courriel d’hameçonnage. Considérez ce Pourcentage de Phish-prone initial comme la base de référence, ou le point de départ, pour votre organisation. Le Pourcentage global de Phish-prone de votre organisation, ou Pourcentage moyen de Phish-prone du compte, est basé sur le Pourcentage de Phish-prone de vos utilisateurs actifs qui ont reçu au moins un test de sécurité en matière d’hameçonnage. Lorsque vous effectuez des tests d’hameçonnage continus, comparez le Pourcentage de Phish-prone de votre organisation avec celui que vous avez mesuré à l’origine pour déterminer le succès de votre plan de formation sur la sensibilisation à la sécurité.

Pourquoi ne pas annoncer le test?

Nous recommandons d’effectuer un test d’hameçonnage de référence non annoncé afin d’obtenir les résultats les plus précis. En n’annonçant pas le test, vous pouvez vous assurer de la vulnérabilité de votre organisation si un véritable hameçonnage passait à travers vos filtres de courriel. Cela peut vous permettre d’obtenir l’adhésion de vos parties prenantes. Pour en apprendre davantage, veuillez consulter : Comment puis-je engager mes parties prenantes dans mon plan de formation sur la sensibilisation à la sécurité?

Paramètres recommandés pour la campagne de test de référence

Conseil :Après avoir établi votre liste blanche et avant de créer une campagne d’hameçonnage de référence, nous vous recommandons de lancer au moins une campagne de test limitée à un petit groupe d’utilisateurs. Pour en apprendre davantage, consultez la section Campagne de test préliminaire de notre Guide de mise en œuvre rapide.

Pour créer une campagne de référence, accédez à l’onglet Hameçonnage > + Créer une campagne d’hameçonnage. Nous vous recommandons d’utiliser les paramètres suivants pour votre campagne de test de référence :

Remarque : Par défaut, toutes les campagnes d’hameçonnage sont localisées.

1. Nom de la campagne : donnez à votre campagne un nom descriptif, par exemple « Test de référence ».
2. Envoyer à : sélectionnez Tous les utilisateurs.
3. Fréquence : sélectionnez Unique.
4. Heure de début : dans les menus déroulants, sélectionnez la date et l’heure souhaitées pour votre test de référence. L’heure choisie doit correspondre aux heures d’ouverture de votre entreprise, car c’est à ce moment-là que vos utilisateurs consultent activement leurs courriels.
5. Période d’envoi : Sélectionnez Envoyer tous les courriels au début de la campagne. Lorsque ce paramètre est sélectionné, l’envoi des courriels commencera dès le début de la campagne. Le moment de l’envoi et de la distribution variera selon le nombre d’utilisateurs de la campagne. Dans la plupart des cas, tous les courriels seront envoyés dans l’heure suivant le début de la campagne.
6. Suivre l’activité : Nous vous recommandons de suivre les échecs aux tests d’hameçonnage pendant au moins trois jours. Pour plus d’informations sur l’envoi et le suivi des périodes, consultez notre article Comment surveiller et examiner les campagnes d’hameçonnage.
7. Suivre les réponses aux courriels d’hameçonnage : vous pouvez activer ce paramètre si vous souhaitez suivre les réponses de vos utilisateurs aux courriels de test d’hameçonnage. Pour plus d’informations sur la réponse-à-l’hameçonnage, consultez notre article Réponse-à-l’hameçonnage.
8. Sujets des modèles : Dans le menu déroulant, sélectionnez la catégorie Hameçonnage d’informations sensibles.
9. Définir la langue du modèle : Lorsqu’il est activé, ce paramètre remplace la langue d’hameçonnage définie dans le profil des utilisateurs. Pour plus d’informations au sujet des paramètres de langue, veuillez consulter notre Guide de localisation.
10. Niveau de difficulté : Ce paramètre évalue le degré de sophistication d’un modèle et la probabilité qu’il fasse échouer vos utilisateurs. Dans le cadre de la présente campagne, assurez-vous que le niveau de difficulté reste réglé sur Tous les niveaux.
11. Sélection du modèle : Dans le menu déroulant, sélectionnez Modèle spécifique (choisissez un modèle).
12. Modèle spécifique : Sélectionnez le modèle d’hameçonnage TI : vérification immédiate du mot de passe requise. 
    1. Aperçu : Cliquer sur Aperçu affiche le modèle d’hameçonnage que vous enverrez à vos utilisateurs.
13. Domaine de lien d’hameçonnage : Choisissez un domaine à utiliser pour le lien d’hameçonnage. Il s’agit du domaine que vos utilisateurs verront lorsqu’ils survoleront le lien d’hameçonnage; choisissez-en un qui semblera « sûr ».
14. Page de destination : Gardez la sélection de l’option Pages de destination par défaut.
15. Ajouter les cliqueurs à : Vous n’avez aucun choix à faire dans le cadre de la présente campagne.
16. Envoyer un courriel de rapport aux administrateurs de compte après chaque test d’hameçonnage : Cochez cette case pour qu’un courriel soit envoyé à tous les administrateurs de votre compte une fois le test terminé. Ce courriel sera envoyé aux administrateurs après la fin de la période Suivre l’activité.

Après le test de référence

Après le test d’hameçonnage de référence, vos utilisateurs peuvent être confus ou préoccupés par le courriel qu’ils ont reçu. Pour permettre de dissiper cette confusion, nous vous recommandons d’envoyer un courriel expliquant ce qu’était le test d’hameçonnage. Vous pouvez même communiquer le Pourcentage de Phish-prone (Pourcentage susceptibilité hameçonnage) de votre organisation pour souligner l’importance de la formation sur la sensibilisation à la sécurité. Nous vous avons fourni un modèle que vous pouvez utiliser pour ce courriel. Veuillez consulter l’article : Modèle pour le suivi de votre test d’hameçonnage de référence.

Nous vous recommandons d’inscrire vos utilisateurs à une formation sur la sensibilisation à la sécurité peu de temps après avoir effectué votre test d’hameçonnage de référence. Pour en savoir plus, consultez le Guide des pratiques exemplaires : créer votre première campagne de formation.

Une fois que les utilisateurs ont terminé leur tâche initiale de formation sur la sensibilisation à la sécurité, nous vous recommandons d’effectuer des tests d’hameçonnage continus afin que vos utilisateurs puissent mettre en pratique les compétences acquises dans le cadre de leur formation. Pour en apprendre davantage sur les tests d’hameçonnage continus, consultez notre Guide des pratiques exemplaires.