Mise en œuvre de la console KMSAT en quatre étapes
Cet article explique les étapes à suivre pour mettre en œuvre la formation sur la sensibilisation à la sécurité et les tests d’hameçonnage simulé dans votre console KMSAT. Cliquez sur les liens ci-dessous pour en apprendre davantage.
Aller à :
Étape 1 : ajouter vos utilisateurs
Étape 2 : effectuer un test d’hameçonnage de référence
Envoyer un test de référence à votre équipe des TI
Étape 3 : former vos utilisateurs
Étape 4 : effectuer des campagnes d’hameçonnage et de formation en continu
Recommandations pour une campagne d’hameçonnage en continu
Recommandations sur la formation en continu
Étape 1 : ajouter vos utilisateurs
Vous pouvez ajouter vos utilisateurs à votre console KMSAT pour leur envoyer des courriels d’hameçonnage simulé et les inscrire à des campagnes de formation. Vous avez plusieurs options pour l’ajout de vos utilisateurs dans votre console KMSAT. Passez en revue vos options et les articles connexes référencés ci-dessous :
- Provisionnement des utilisateurs : Il s’agit de la méthode privilégiée pour synchroniser les utilisateurs avec votre console KMSAT et entretenir votre liste d’utilisateurs au fil du temps. Vous pouvez utiliser votre intégration à « Active Directory » (ADI) ou SCIM pour provisionner automatiquement les utilisateurs dans votre console KMSAT. Pour en apprendre davantage, consultez le Guide de configuration pour l’intégration à « Active Directory » (ADI) et le Guide de configuration SCIM.
- Importation rapide : cette méthode est utile si vous devez importer moins de 100 utilisateurs. Pour en apprendre davantage, voir la section Importation rapide de l’article Utilisateurs et groupes.
- Importation CSV : Cette méthode est utile pour importer un grand nombre d’utilisateurs et pour inclure d’autres données sur les utilisateurs, comme les noms, les numéros de téléphone, les adhésions de groupe et plus. Pour en apprendre davantage, consultez notre article Comment importer des utilisateurs à partir d’un fichier CSV.
- Autre : Il existe d’autres façons d’importer des utilisateurs pour votre organisation en particulier. Si vous avez besoin de conseils spécifiques, veuillez vous adresser à votre équipe de soutien à la clientèle ou lire les articles de notre base de connaissances référencés ci-dessous :
Étape 2 : effectuer un test d’hameçonnage de référence
Avant de commencer votre programme de formation sur la sensibilisation à la sécurité, nous vous recommandons vivement d’envoyer un test d’hameçonnage de référence à l’ensemble de vos utilisateurs. Vous pouvez utiliser ce test comme point de référence pour votre programme de formation sur la sensibilisation à la sécurité.
Pour en apprendre davantage au sujet des recommandations sur le processus d’hameçonnage de référence, consultez les sous-sections ci-dessous ou notre vidéo Campagne d’hameçonnage de référence en une minute (clics).
Campagne de test préliminaire
Avant de créer une campagne d’hameçonnage de référence pour vos utilisateurs, nous vous recommandons de lancer au moins une campagne de test limitée à un petit groupe d’utilisateurs, comme votre équipe des TI.
L’objectif de cette campagne de test préliminaire est de s’assurer que vous avez correctement établi votre liste blanche et que les courriels passent à travers vos filtres antipourriel et la protection du pare-feu.
Cette campagne préliminaire permet également de s’assurer que les clics et autres échecs au test d’hameçonnage sont suivis dans votre compte. Cliquez sur le lien d’hameçonnage simulé dans votre courriel de test pour vous assurer que les échecs sont bien suivis dans votre compte. Pour en apprendre davantage, consultez nos articles Créer et gérer des campagnes d’hameçonnage ou Comment surveiller et revoir les campagnes d’hameçonnage.
Déterminer une référence
Après avoir confirmé la réussite de la campagne de test d’hameçonnage préliminaire, vous devez créer une campagne de test d’hameçonnage de référence pour tous vos utilisateurs. Ce test vous indiquera le Pourcentage de Phish-prone (Pourcentage de susceptibilité hameçonnage) initial de votre organisation. Considérez ce Pourcentage de Phish-prone (Pourcentage de susceptibilité hameçonnage) initial comme votre point de référence. Utilisez-le pour mesurer le succès de votre plan de formation sur la sensibilisation à la sécurité.
Pour connaître nos recommandations sur le paramétrage de votre campagne d’hameçonnage de référence, veuillez consulter nos articles Quelle est la meilleure méthode pour mettre en place un test de référence? ou Quel courriel devrais-je utiliser dans mon test de référence initial?.
Envoyer un test de référence à votre équipe des TI
Une autre option que vous pouvez envisager est d’envoyer deux tests d’hameçonnage de base : l’un à votre service des TI ou service d’assistance d’abord, puis un autre au reste de vos employés. Ainsi, lorsque le reste de vos employés commencera à signaler le courriel suspect, les employés des TI ou du service d’assistance seront au courant de la situation, mais ils auront également eu l’occasion de participer à l’évaluation de référence. En outre, c’est un excellent moyen de s’assurer que vous avez bien inscrit nos serveurs de messagerie sur une liste blanche et que votre test de base atteindra la boîte de réception de tout le monde.
Étape 3 : Formez vos utilisateurs
Pour votre campagne de sensibilisation à la sécurité initiale, nous vous recommandons d’inscrire tous vos utilisateurs à la formation sur la sensibilisation à la sécurité Kevin Mitnick, d’une durée de 45 minutes, ou à un cours exhaustif similaire. Pour en apprendre davantage sur le contenu de la formation qui vous est offert, consultez notre Guide du ModStore et de la bibliothèque.
Pour connaître nos recommandations pour le paramétrage de votre première campagne de formation, consultez notre article Créer votre première campagne de formation sur la sensibilisation à la sécurité.
Cliquez sur les liens ci-dessous pour en apprendre davantage sur l’organisation des campagnes de formation :
- Création et gestion des campagnes de formation
- Comment configurer une campagne de formation de rattrapage
- Vidéo (en anglais) : Configuration d’une campagne de formation
- Vidéo (en anglais) : Suivi des campagnes de formation
- Vidéo (en anglais) : Commencer avec votre formation sur la sensibilisation à la sécurité KnowBe4
Étape 4 : effectuer des campagnes d’hameçonnage et de formation en continu
Les campagnes d’hameçonnage et de formation en continu sont essentielles pour votre organisation. Elles aident à gérer le problème de l’hameçonnage et du piratage psychologique.
Trois modèles de plans de formation permettent l’intégration de KnowBe4 au sein de votre organisation : Sensibilité élevée, Moyenne sensibilité et Faible sensibilité. Ces plans sont répartis selon ces niveaux de sensibilisation. Le niveau de sensibilisation de votre organisation est basé sur le degré de maturité que vous souhaitez atteindre avec votre programme de formation sur la sensibilisation à la sécurité. Pour en apprendre davantage au sujet des différents niveaux de sensibilisation, consultez notre article Guide des pratiques exemplaires : Comment puis-je intégrer efficacement KnowBe4 dans mon organisation?.
Si vous ne savez pas quel plan vous convient le mieux, parcourez nos recommandations générales en matière de formation sur la sensibilisation à la sécurité dans les sous-sections suivantes.
Recommandations pour une campagne d’hameçonnage en continu
Envoyez au moins un test d’hameçonnage par mois à tous vos utilisateurs. Vous pouvez le faire en créant une campagne d’hameçonnage mensuelle qui utilise les critères suivants :
- Inclure plusieurs catégories de courriels et différents types de tests d’hameçonnage.
- Répartir l’envoi des courriels sur une longue période, par exemple une semaine. De cette façon, les utilisateurs ne sauront pas quand ils recevront un test d’hameçonnage.
- Ajouter les utilisateurs qui ont échoué au test d’hameçonnage dans un groupe de formation de rattrapage.
En plus de vos tests d’hameçonnage mensuels pour tous les utilisateurs, nous vous recommandons de configurer des tests supplémentaires pour vos services les plus à risque ou vos employés plus susceptibles d’être victimes d’une attaque par hameçonnage.
Pour connaître la façon de déterminer quels sont les services ou les employés qui sont le plus à risque au sein de votre organisation, voir le Guide sur l’agent virtuel de gestion des risques (Virtual Risk Officer, VRO) et la note de risque.
Pour en apprendre davantage sur la création et la personnalisation des campagnes d’hameçonnage, voir les articles suivants :
- Créer et gérer des campagnes d’hameçonnage
- Personnalisation des courriels et des pages de destination
- Comment utiliser les espaces réservés
- Comment utiliser les espaces réservés : cas pratiques
Recommandations sur la formation en continu
Vous trouverez ci-dessous nos recommandations minimales pour effectuer une formation sur la sensibilisation à la sécurité en continu pour n’importe quelle organisation :
- Créer un groupe et une campagne de formation de rattrapage. Pour en apprendre davantage au sujet des campagnes de formation de rattrapage, lisez l’article Comment configurer une campagne de formation de rattrapage ou regardez la vidéo Campagnes de formation de rattrapage.
- Former des groupes ou des employés spécifiques sur des formations basées sur les rôles et d’autres cours spécialisés. Nous vous recommandons de parcourir le ModStore pour trouver les cours dont vous avez besoin. Pour en apprendre davantage, consultez notre Guide du ModStore et de la bibliothèque.
- Configurer une campagne mensuelle pour envoyer des courriels sur les avis et les conseils de sécurité à vos utilisateurs. Pour en apprendre davantage, consultez notre article Qu’est-ce que le bulletin d’information Avis et conseils de sécurité?.
- Afin que vos utilisateurs demeurent vigilants et prêts à se défendre contre les toutes dernières escroqueries par hameçonnage et piratage psychologique, configurez une campagne pour envoyer des courriels indiquant l’Escroquerie de la semaine à tous vos utilisateurs. Pour en apprendre davantage, consultez notre article Qu’est-ce que le bulletin d’information « Escroquerie de la semaine »?.
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.