Notes de risque

Guide du Virtual Risk Officer (VRO) et de la note de risque

Notre fonction Virtual Risk Officer (VRO), un agent virtuel de gestion des risques, fournit des données exploitables et des indicateurs qui vous aideront à comprendre les forces et les lacunes de votre organisation en matière de sécurité. Vous pouvez utiliser le VRO pour identifier les utilisateurs qui seraient vulnérables aux attaques par hameçonnage et revoir l’efficacité de votre programme de formation sur la sensibilisation à la sécurité.

Le VRO attribue des notes de risque dynamiques à vos utilisateurs, à vos groupes et à votre organisation. Vous pouvez utiliser ces notes de risque pour prendre des décisions basées sur des données concernant la sécurité de votre organisation.

Pour obtenir des informations sur le VRO, utilisez les liens ci-dessous pour accéder à des sections précises de cet article ou regardez notre vidéo intitulée Virtual Risk Officer (VRO).

Aller à :Qu’est-ce qu’une note de risque?Comment la note de risque personnel est-elle déterminée?

Notes de risque du groupeNotes de risque de l’organisationComment réduire ses notes de risque

Foire aux questions (FAQ)

 

Qu’est-ce qu’une note de risque? 

KnowBe4 enregistre une note de risque unique pour chacun de vos utilisateurs, de vos groupes et pour votre organisation. La note de risque de vos utilisateurs individuels est appelée note de risque personnel. Ces notes de risque personnel sont utilisées pour calculer la note de risque des groupes et de votre organisation.

Vous pouvez voir ces notes dans la console, dans différents rapports, listes d’utilisateurs et listes de groupes.

Comment la note de risque personnel est-elle déterminée?

La note de risque personnel est la note de risque individuelle d’un utilisateur. Les notes de risque personnel sont calculées à l’aide d’un réseau neuronal d’apprentissage profond combinant plusieurs facteurs différents. Certains d’entre eux figurent dans le tableau ci-dessous :

Facteur de risque

Description

Pourcentage Phish-prone

La probabilité qu’un utilisateur tombe dans le piège d’une attaque par hameçonnage. Ce pourcentage est basé sur les résultats d’un test de sécurité en matière d’hameçonnage.

Statut de la formation sur la sensibilisation à la sécurité

Indique le type de modules de formation que l’utilisateur a terminés et le temps qu’il a passé à le faire.

Violation de données

Indique si les informations sur l’utilisateur ont été trouvées dans le cadre d’une ou plusieurs violations de données à l’aide de notre outil Email Exposure Check (EEC Pro). Les renseignements sur les violations de données sont répertoriées dans le calendrier et le rapport individuel de l’utilisateur.

Poste occupé

Le titre du poste d’un utilisateur peut avoir une incidence sur sa note de risque personnel.

Un utilisateur sans titre de poste se verra imposer un facteur de risque de poste occupé à sa note de risque.

Pour obtenir plus d’informations, consultez notre article Quelle est l’incidence du titre de poste sur les notes de risque?.

Régleur des risques de l’utilisateur

Vous pouvez utiliser l’outil Régleur des risques pour augmenter manuellement la note de risque personnel d’un utilisateur. Nous vous recommandons d’utiliser le régleur des risques pour les utilisateurs à haut risque. Pour obtenir plus d’informations, consultez notre Guide sur les régleurs de risques.

Régleur des risques du groupe

Si vous ajoutez un utilisateur à un groupe, le régleur des risques du groupe peut modifier la note de risque personnel de cet utilisateur.

Si le régleur des risques de l’utilisateur est inférieur à celui du groupe, c’est le régleur des risques du groupe qui s’applique. Lorsqu’il est appliqué, la note de risque personnel de l’utilisateur est modifiée.

Si vous avez ajouté un utilisateur à plusieurs groupes, c’est le régleur des risques le plus élevé qui s’applique.

Les utilisateurs ayant un risque très faible ne sont pas affectés par le régleur des risques du groupe.

Pour obtenir plus d’informations sur les régleurs des risques, consultez notre Guide sur les régleurs des risques.

Les notes de risque personnel de vos utilisateurs peuvent varier selon les facteurs mentionnés précédemment. Ainsi, par exemple, les utilisateurs du service de la comptabilité peuvent avoir des notes de risque personnel plus élevées que les utilisateurs du service de conception graphique. En effet, les utilisateurs du service de comptabilité ont accès à des informations financières sensibles et sont plus susceptibles d’être les cibles d’attaques par hameçonnage et de piratage psychologique.

De même, un PDG a une note de risque personnel plus élevée qu’un directeur commercial. Effectivement, les cadres peuvent avoir accès à de l’information classifiée sur l’organisation et le risque qu’ils subissent des attaques de piratage psychologique peut être plus élevé.

Toutes les notes de risque personnel sont mises à jour une fois par jour. Les notes enregistrées au cours des jours précédents ne peuvent pas être modifiées.

Vous pouvez afficher la note de risque personnel d’un utilisateur dans plusieurs sections de votre console, y compris la liste des utilisateurs dans l’onglet Utilisateurs, dans les profils des utilisateurs individuels et dans les rapports de l’utilisateur disponibles dans le Centre de rapports.

Diagrammes et graphiques sur les notes de risque personnel

Dans l’onglet Utilisateurs de votre console KnowBe4, vous verrez trois différents graphiques illustrant la note de risque personnel d’un utilisateur. Pour afficher ces graphiques pour chaque utilisateur, accédez à l’onglet Utilisateurs, puis cliquez sur le nom de l’utilisateur.

Cliquez sur un onglet ci-dessous pour en apprendre davantage sur chaque graphique :

L’échelle de la note de risque offre une représentation visuelle de la note de risque personnel calculée de l’utilisateur. Cette échelle va de 0 à 100. Consultez le tableau ci-dessous pour obtenir des informations sur les couleurs utilisées dans l’échelle de la note de risque et les notes de risque correspondantes. 

Échelle de la note de risque

Couleur

Note de risque

Vert

0 - 20 

Jaune

20,1 - 40

Orange

40,1 - 60

Rouge

60,1 - 80

Rouge foncé

80,1 - 100

Note: Les utilisateurs peuvent une note de risque personnel de « 0 » s’ils n’ont pas reçu de test d’hameçonnage ou terminé leurs tâches de formation. Une note de « 0 » n’aura pas une grande incidence sur les notes de risque du groupe et de l’organisation.

Le diagramme radar des facteurs de risque illustre les facteurs qui ont la plus grande incidence sur la note de risque personnel d’un utilisateur. 

Les données de ce diagramme sont uniquement reliées aux autres facteurs de risque de cet utilisateur. Elles ne sont pas reliées aux facteurs de risque de tous les utilisateurs de votre organisation. Consultez le tableau ci-dessous pour obtenir plus d’informations sur chaque facteur de risque mentionné dans le diagramme :

Facteur

Description

Événements personnalisés

L’utilisateur était inclus dans au moins un événement personnalisé qui a été importé vers la console au moyen de l’interface protocolaire d’application (API) d’événement de l’utilisateur. Les répercussions du facteur de risque des événements personnalisés varient selon le niveau de risque attribué à chaque événement personnalisé.

Régleur

Vous avez appliqué manuellement un Régleur des risques à cet utilisateur. Ce facteur de risque comprend les régleurs des risques individuels et ceux des groupes. Les administrateurs peuvent modifier le régleur des risques des utilisateurs et celui des groupes.

Le diagramme peut indiquer si un régleur des risques a été appliqué à l’utilisateur, y compris un régleur de Risque normal. Si vous souhaitez modifier ce paramètre, vous pouvez appliquer un régleur de Risque très faible à cet utilisateur ou au groupe.

Exposition

Ce facteur indique si des informations sur l’utilisateur ont été retrouvées dans une ou plusieurs violations de données. Si tel est le cas, la probabilité que ce dernier soit à nouveau victime d’attaques par hameçonnage ou de piratage psychologique est plus grande. Avec le temps, les notes concernant les anciennes violations de données diminueront. Les plus récentes auront une grande incidence sur le facteur de risque « Exposition ».

Pour savoir si les informations d’un utilisateur ont été retrouvées dans une violation de données, accédez au calendrier de l’utilisateur ou à son rapport d’utilisateur.

Poste occupé

Les utilisateurs peuvent avoir une note de risque élevée en fonction du poste qu’ils occupent. Pour obtenir plus d’informations, consultez notre articleQuelle est l’incidence d’un titre de poste sur les notes de risque?.

Comportement

Ce facteur indique si l’utilisateur a échoué à plusieurs tests d’hameçonnage simulés. Si l’utilisateur réussit de futurs tests, la valeur du facteur de risque « Comportement » augmentera.

Formation

L’utilisateur n’a pas terminé sa formation ou n’a pas passé assez de temps à suivre sa formation. La valeur de ce facteur sera élevée si l’utilisateur n’a pas terminé la formation, mais plus faible s’il a complété sa formation.

Le graphique linéaire Historique du risque représente l’évolution de la note de risque personnel de l’utilisateur au cours des six derniers mois. Vous pouvez passer votre curseur sur n’importe quel point du graphique pour afficher la note de risque personnel de l’utilisateur à la date concernée.

Notes de risque du groupe

La note de risque d’un groupe est déterminée par les notes de risque personnel des utilisateurs du groupe et est calculée en utilisant la mesure de l’erreur quadratique moyenne, ou MEQM. Cela signifie que la note de risque de votre groupe peut ne pas représenter la moyenne exacte des notes de risque personnel de vos utilisateurs. Par exemple, si un utilisateur de votre groupe enregistre une note de risque personnel particulièrement élevée comparativement au reste du groupe, MEQM empêchera cette note de fausser la note de risque du groupe.

La note de risque du groupe change lorsque des utilisateurs sont ajoutés ou supprimés du groupe et lorsque les notes de risque personnel des utilisateurs évoluent. Si des changements sont détectés, la note de risque du groupe est mise à jour pendant la nuit. Les notes de risque enregistrées dans le passé ne peuvent pas être modifiées.

Si vous le souhaitez, vous pouvez appliquer un régleur des risques à un groupe. Pour obtenir plus d’informations sur la façon d’appliquer un régleur des risques à un groupe, consultez notre Guide sur les régleurs des risques.

La note de risque du groupe se retrouve dans plusieurs sections de la console, y compris la page de l’aperçu du groupe, dans les profils de chaque groupe individuel et dans les rapports de groupe.

Notes de risque de l’organisation

La note de risque de votre organisation est déterminée en combinant les notes de risque personnel de tous vos utilisateurs.

Cependant, KnowBe4 utilise la mesure de l’erreur quadratique moyenne, ou MEQM, pour calculer la note de risque de votre organisation. Ainsi, si un utilisateur a une note de risque personnel inhabituelle, la MEQM empêche sa note de risque de fausser celle de votre organisation. De cette manière, par exemple, la note de risque personnel inhabituellement élevée d’un utilisateur aura une moindre incidence sur la note de risque de votre organisation. Résultat, la note de risque de votre organisation ne représentera pas la moyenne exacte de toutes les notes de risque personnel des utilisateurs.

Vous pouvez consulter la note de risque de votre organisation dans l’onglet Tableau de bord de votre console KnowBe4. Dans la section Note de risque de l’organisation, vous pouvez afficher le graphique Historique de note de risque et l’échelle de la note de risque de votre organisation. Le graphique Historique de note de risque illustre l’évolution de la note de risque de votre organisation au cours des six derniers mois. Chaque point de données du graphique représente la note de risque de votre organisation à un point précis dans le temps.

Tableau de bord : Risque de l’organisation

La note de risque de votre organisation évolue lorsque les notes de risque personnel de vos utilisateurs changent. La note de risque du groupe sera mise à jour pendant la nuit si des changements sont détectés.

Si aucun changement n’est détecté, vous verrez au moins deux points de données ajoutés chaque mois au graphique de la note de risque de votre organisation. Lorsque aucun changement n’est détecté, ces deux points sont quand même ajoutés pour indiquer que la note de risque n’a pas changé pour le mois. Si la note de risque de votre organisation change, un point de données est ajouté dans la nuit. Vous ne pouvez pas changer manuellement les notes de risque enregistrées dans le graphique.

Vous ne pouvez pas appliquer manuellement un régleur des risques à la note de risque de votre organisation.

Comment réduire ses notes de risque

Vous pouvez réduire les notes de risque personnel, les notes de risque du groupe et les notes de risque de l’organisation. Pour obtenir des informations sur la manière de réduire ces notes, veuillez consulter les sections ci-dessous.

Retour au haut de la page

Comment réduire ses notes de risque personnel

Certains utilisateurs auront toujours une note de risque personnel élevée en raison du titre de leur poste ou d’autres facteurs. Toutefois, les utilisateurs peuvent prendre certaines mesures précises pour réduire leur note de risque personnel, comme terminer la formation sur la sensibilisation à la sécurité et ne pas cliquer sur les liens d’hameçonnage contenus dans les courriels d’hameçonnage.

La note de risque personnel d’un utilisateur diminuera lorsque celui-ci terminera ses tâches liées à la formation sur la sensibilisation à la sécurité. Nous vous recommandons d’attribuer des modules de formation qui couvrent une variété de sujets sur la sensibilisation à la sécurité, comme notre module Formation sur la sensibilisation à la sécurité avec Kevin Mitnick. Pour obtenir plus d’informations sur la création d’une campagne de formation, consultez notre article Créer et gérer des campagnes de formation.

La note de risque personnel d’un utilisateur diminuera également si ce dernier évite de cliquer sur des liens d’hameçonnage et d’ouvrir des pièces jointes dans des courriels d’hameçonnage. Lorsque l’utilisateur arrêtera de cliquer sur des liens d’hameçonnage simulés, il verra diminuer son pourcentage de susceptibilité à l’hameçonnage (Phish-prone Percentage). Cette diminution entraînera également la réduction de sa note de risque personnel.

Retour au haut de la page

Comment réduire les notes de risque du groupe et de l’organisation

Les notes de risque de vos groupes et de l’organisation diminuent lorsque les notes de risque personnel de vos utilisateurs diminuent. Pour réduire progressivement la note de risque de votre organisation, nous vous recommandons d’utiliser une combinaison de programmes d’hameçonnage simulé et de formation sur la sensibilisation à la sécurité.

Pour de meilleurs résultats, nous vous recommandons de suivre le programme Automated Security Awareness Program (ASAP). Ce programme sera personnalisé pour répondre aux besoins de votre organisation et vous aidera à respecter votre plan en matière de sécurité.

Pour obtenir plus d’informations, consultez notre Guide sur les pratiques exemplaires : Comment puis-je intégrer efficacement KnowBe4 dans mon organisation?. Si vous souhaitez obtenir de l’aide supplémentaire, contactez votre gestionnaire de comptes ou votre gestionnaire de la réussite client.

Foire aux questions (FAQ)

Q : Si je supprime une campagne de formation ou une campagne d’hameçonnage, cette action aura-t-elle une incidence sur les notes de risque de mes utilisateurs?

  • R : Non, il n’y aura pas d’incidence sur les notes de risque existantes. Cependant, si vous supprimez une campagne aujourd’hui, les notes de risque de vos utilisateurs en date d’aujourd’hui et dans le futur en seront affectées.

Q : Les avis et conseils de sécurité ainsi que les campagnes Escroquerie de la semaine sont-ils inclus dans les notes de risque personnel de mes utilisateurs?

  • R : Oui, ces campagnes sont incluses dans les notes de risque personnel de vos utilisateurs. Elles diminuent les notes de risque personnel de vos utilisateurs, car elles ne contiennent pas de liens d’hameçonnage sur lesquels les utilisateurs peuvent cliquer. Vous devriez toujours les masquer dans les rapports. Pour obtenir plus d’informations, consultez notre article Comment masquer une campagne d’hameçonnage dans les rapports.

Q : Puis-je changer manuellement la note de risque d’un utilisateur ou d’un groupe?

  • R : Oui, vous pouvez changer manuellement la note de risque d’un utilisateur ou d’un groupe. Pour obtenir plus d’informations, consultez notre Guide sur les régleurs des risques.

Q : À quelle heure les notes de risque sont-elles mises à jour?

  • R : Elles sont mises à jour aux environs de minuit, heure normale de l’Est (HNE). Cette heure peut varier légèrement.

Q : À quelle fréquence le modèle VRO est-il mis à jour?

  • R : Le modèle VRO est mis à jour toutes les semaines. Nous mettons également à jour cette fonction au besoin afin de vous fournir des informations précises.

Q : Pourquoi la valeur de la note de risque de mon organisation est-elle de 0?

  • R : La note de risque de votre organisation n’a peut-être pas encore été enregistrée. Les valeurs des notes de risques sont enregistrées aux environs de minuit, heure normale de l’Est (HNE).

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance