Mise en œuvre de la plateforme de formation sur la sensibilisation à la sécurité (KMSAT) de KnowBe4, en quatre étapes
Cet article explique les étapes à suivre pour mettre en œuvre la formation sur la sensibilisation à la sécurité et les tests d’hameçonnage simulé dans votre compte. Cliquez sur le nom de chaque étape pour en apprendre davantage.
Étape 1 : ajouter vos utilisateurs
Ajoutez vos utilisateurs à votre console KnowBe4 pour leur envoyer des courriels d’hameçonnage simulé et les inscrire à des campagnes de formation.
Étape 2 : effectuer un test d’hameçonnage de référence
Envoyez un test d’hameçonnage de référence à tous vos utilisateurs pour découvrir lesquels sont les plus susceptibles au hameçonnage ou plus vulnérables aux attaques par hameçonnage.
Étape 3 : former vos utilisateurs
Inscrivez tous vos utilisateurs à la formation sur la sensibilisation à la sécurité Kevin Mitnick de 45 minutes ou à un module exhaustif similaire de formation sur la sensibilisation à la sécurité.
Étape 4 : effectuer des campagnes d’hameçonnage et de formation en continu
Effectuez des tests d’hameçonnage randomisés tout en menant des campagnes de formation de rattrapage pour aider à renforcer votre pare-feu humain.
Conseil :
Pour obtenir plus d’informations sur la mise en œuvre de la plateforme de formation sur la sensibilisation à la sécurité de KnowBe4, nous vous recommandons d’utiliser notre Programme automatisé de sensibilisation à la sécurité (ASAP) ou de revoir notre Guide sur les pratiques exemplaires.Étape 1 : ajouter vos utilisateurs
Plusieurs options s’offrent à vous lorsque vient le temps d’ajouter vos utilisateurs à la plateforme de formation sur la sensibilisation à la sécurité de KnowBe4. Passez en revue vos options et les articles connexes ci-dessous :
-
Provisionnement des utilisateurs : il s’agit de la méthode privilégiée pour synchroniser les utilisateurs avec votre compte KnowBe4 et conserver votre liste d’utilisateurs au fil du temps.
Vous pouvez utiliser votre intégration à « Active Directory » (ADI) ou SCIM pour provisionner automatiquement les utilisateurs dans votre console KnowBe4. Pour en apprendre davantage, consultez nos articles Guide de configuration pour l’intégration à « Active Directory » (ADI) et Guide de configuration SCIM. -
Importation rapide : cette méthode est utile si vous devez importer moins de 100 utilisateurs.
- Pour en apprendre davantage, voir la section Importation rapide de l’article Utilisateurs et groupes.
-
Importation CSV : cette méthode est utile pour importer une grande quantité d’utilisateurs et pour inclure d’autres données comme le nom, le numéro de téléphone, les adhésions de groupe et plus.
- Pour en apprendre davantage, voir : Comment puis-je importer des utilisateurs en utilisant un fichier CSV?
Ressources pour la gestion des utilisateurs
Les articles ci-dessous sont des ressources utiles pour vous aider à ajouter des utilisateurs à votre plateforme.
- Vidéo (en anglais) : Ajouter/Importer des utilisateurs
- Manuel des utilisateurs et des groupes
- Comment puis-je importer des utilisateurs en utilisant un fichier CSV?
- Guide de configuration pour l’intégration à « Active Directory » (ADI)
- Guide de configuration SCIM
- Comment récupérer des courriels sur Active Directory en utilisant PowerShell
- Gestion de plusieurs domaines de courriel
Étape 2 : effectuer un test d’hameçonnage de référence
Avant de commencer votre programme de formation sur la sensibilisation à la sécurité, nous vous recommandons vivement d’envoyer un test d’hameçonnage de référence à l’aveugle à tous vos utilisateurs. Vous pouvez utiliser ce test comme point de référence pour votre programme de sensibilisation à la sécurité. Voir les sous-sections ci-dessous pour en apprendre davantage.
Important :
Avant de commencer cette étape, veuillez vous assurer que vous avez inscrit sur une liste blanche les adresses IP ou les domaines de KnowBe4 dans votre environnement de courriel. Utilisez notre Assistant de mise sur liste blanche ou consultez notre Guide de l’inscription sur liste blanche pour connaître la façon de mettre votre client de courriel et les filtres antipourriels sur liste blanche.
Campagne de test préliminaire
Avant de créer une campagne d’hameçonnage de référence pour vos utilisateurs, nous vous recommandons de lancer au moins une campagne de test limitée à un petit groupe d’utilisateurs, comme votre équipe des TI.
Le but de cette campagne de test préliminaire est de :
- s’assurer que vous avez correctement établi votre liste blanche et que les courriels passent à travers vos filtres antipourriel et la protection du pare-feu.
- s’assurer que les clics et autres échecs de test d’hameçonnage sont suivis dans votre compte. Cliquez sur le lien d’hameçonnage simulé dans votre courriel de test pour vous assurer que les échecs sont bien suivis dans votre compte. Pour en apprendre davantage, voir : Surveillance et révision des campagnes d’hameçonnage individuelles.
Conseil :
Lorsque vous avez terminé votre test préliminaire, vous devez supprimer la campagne ou la masquer afin qu’elle ne s’immisce pas dans vos rapports ou votre note de risque.Déterminer une référence
Après avoir confirmé la réussite de la campagne de test d’hameçonnage préliminaire, vous devez créer une campagne de test d’hameçonnage de référence pour tous vos utilisateurs. Cela vous indiquera le pourcentage de susceptibilité à l’hameçonnage initial de votre entreprise. Considérez ce pourcentage comme votre point de référence. Utilisez-le pour mesurer le succès de votre plan de formation sur la sensibilisation à la sécurité.
Pour connaître nos recommandations sur la configuration de votre campagne d’hameçonnage de référence, veuillez consulter : Quelle est la meilleure méthode pour mettre en place un test de référence?
Pour éviter la surcharge du service d’assistance, commencez par interroger votre équipe des TI!
Une autre option que vous pouvez envisager est d’envoyer deux tests d’hameçonnage de base : l’un à votre service des TI/d’assistance d’abord, puis un autre au reste de vos employés. Ainsi, lorsque le reste de vos employés commencera à signaler les courriels suspects, les employés du service d’assistance seront au courant de la situation, mais ils auront également eu l’occasion de participer à l’évaluation de base. En outre, c’est un excellent moyen de s’assurer que vous avez bien inscrit nos serveurs de messagerie sur une liste blanche et que votre test de base atteindra la boîte de réception de tout le monde.
Ressources sur l’hameçonnage
Les articles ci-dessous sont des ressources utiles pour vous aider à configurer votre test d’hameçonnage de référence.
- Quelle est la meilleure méthode pour mettre en place un test de référence?
- Quel courriel devrais-je utiliser dans mon test de référence initial?
- Vidéo (en anglais) : Référence en une minute : Modifier votre mot de passe (clics)
- Créer des campagnes d’hameçonnage
Étape 3 : former vos utilisateurs
Pour votre campagne de sensibilisation à la sécurité initiale, nous vous recommandons d’inscrire tous vos utilisateurs à la formation sur la sensibilisation à la sécurité Kevin Mitnick de 45 minutes ou à un cours exhaustif similaire. Pour en apprendre davantage sur le contenu de la formation qui vous est offert, voir : Quel type de contenu du ModStore puis-je ajouter aux campagnes de formation?
Pour en apprendre davantage sur nos recommandations sur la configuration de votre première campagne de formation, veuillez consulter : Inscription de vos employés à une formation de sensibilisation à la sécurité.
Ressources sur la formation
Les articles ci-dessous sont des ressources utiles pour vous aider à mener des campagnes de formation.
- ModStore
- Inscription de vos employés à une formation de sensibilisation à la sécurité
- Créer et gérer des campagnes de formation
- Configurer des campagnes de formation de rattrapage
- Vidéo (en anglais) : Comment configurer des campagnes de formation
- Vidéo (en anglais) : Comment surveiller des campagnes de formation
- Vidéo (en anglais) : Commencer avec la formation à la sécurité KnowBe4
Étape 4 : effectuer des campagnes d’hameçonnage et de formation en continu
Les campagnes d’hameçonnage et de formation en continu sont des éléments essentiels pour votre organisation afin de gérer le problème de l’hameçonnage et du piratage psychologique.
Dans le Guide des pratiques exemplaires, vous pourrez faire un choix entre trois modèles de plans de formation lors de l’intégration de KnowBe4 à votre organisation. Ces plans sont répartis par niveau de sensibilisation. Le niveau de sensibilisation de votre organisation est basé sur le degré de maturité que vous souhaitez atteindre avec votre programme de sensibilisation à la sécurité. Cliquez sur l’un des plans de sensibilisation suivants pour en apprendre davantage :
Si vous ne savez pas quel plan vous convient le mieux, parcourez nos recommandations générales en matière de formation sur la sensibilisation à la sécurité dans les sections suivantes.
Recommandations pour une campagne d’hameçonnage en continu
Il faut au moins envoyer un test d’hameçonnage par mois à tous vos utilisateurs. Vous pouvez le faire en créant une campagne d’hameçonnage mensuelle en utilisant les critères suivants :
- Inclure plusieurs catégories de courriels et différents types de tests d’hameçonnage.
- Répartir l’envoi des courriels sur une longue période, par exemple une semaine. De cette façon, les utilisateurs ne sauront pas quand ils recevront un test d’hameçonnage.
- Ajouter les utilisateurs qui ont échoué au test d’hameçonnage dans un groupe de formation de rattrapage.
En plus de vos tests d’hameçonnage mensuels pour tous les utilisateurs, nous vous recommandons de configurer des tests supplémentaires pour vos services les plus à risque ou vos employés plus susceptibles d’être victimes d’une attaque par hameçonnage.
- Pour connaître la façon de déterminer quels sont les services ou les employés qui sont le plus à risque au sein de votre organisation, voir le Guide sur l’agent virtuel de gestion des risques (Virtual Risk Officer, VRO) et la note de risque.
Pour en apprendre davantage sur la création et la personnalisation des campagnes d’hameçonnage, voir les articles suivants :
- Créer et gérer des campagnes d’hameçonnage
- Personnalisation des courriels et des pages de destination
- Comment utiliser les espaces réservés
- Comment utiliser les espaces réservés : cas d’utilisation
Recommandations sur la formation en continu
Vous trouverez ci-dessous nos recommandations minimales pour effectuer une formation sur la sensibilisation à la sécurité en continu pour n’importe quelle organisation :
- Créer un groupe et une campagne de formation de rattrapage.
- Pour en apprendre davantage sur la formation de rattrapage, voir cet article Comment configurer une formation de rattrapage ou regarder la vidéo Campagnes de formation de rattrapage.
- Former des groupes ou des employés spécifiques sur des formations basées sur les rôles et d’autres cours spécialisés.
- Nous vous recommandons de parcourir le ModStore pour trouver les cours dont vous avez besoin. Pour en apprendre davantage, voir : ModStore.
- Configurer une campagne mensuelle pour envoyer des courriels sur les avis et les conseils de sécurité à vos utilisateurs.
- Pour en apprendre davantage, voir : Comment configurer un bulletin d’informations sur les avis et conseils de sécurité.
- Afin que vos utilisateurs demeurent vigilants et prêts à se défendre contre les toutes dernières escroqueries par hameçonnage et piratage psychologique, configurez une campagne pour envoyer des courriels indiquant l’Escroquerie de la semaine à tous vos utilisateurs.
- Pour en apprendre davantage, voir : Comment configurer un bulletin d’informations sur l’Escroquerie de la semaine.
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.