Dans votre plateforme PhishER, vous pouvez utiliser PhishML pour classer les messages et prioriser les menaces qui se trouvent dans les courriels des boîtes de réception de vos utilisateurs. PhishML est une fonctionnalité d’apprentissage automatique qui analyse les messages de votre boîte de réception PhishER et qui détermine le pourcentage de certitude, ou confidence value (valeur de confiance), qu’un message soit sûr, qu’il s’agisse d’un pourriel ou d’une menace.

PhishML vous permet de définir les seuils que les valeurs de confiance d’un message doivent atteindre ou dépasser pour que le message soit automatiquement classé. Vous pouvez ensuite créer des actions qui utilisent les étiquettes PhishML pour automatiser le classement et la priorisation des messages de votre boîte de réception PhishER.

PhishML apprend constamment et devient plus exact en fonction du langage utilisé dans le contenu des courriels signalés. PhishML apprend uniquement à partir des courriels d’hameçonnage qui sont signalés et envoyés à KnowBe4 lorsque le paramètre Envoyez-nous une copie est activé dans les Paramètres du compte de la section Phish Alert de votre KSAT. Après avoir extrait le texte – sans porter attention au contenu imbriqué dans le message – PhishML compare le langage aux tendances observées dans d’autres messages analysés par PhishER.

Activer PhishML

Pour activer PhishML pour votre plateforme PhishER, suivez les étapes ci-dessous :

1. Connectez-vous à votre plateforme PhishER.
2. Accédez à Settings (Paramètres) > PhishML.
3. Activez le commutateur PhishML.
   Remarque :La première fois que vous activez PhishML, la boîte de dialogue Terms and Conditions (Modalités) s’affiche. Avant d’utiliser PhishML, vous devez lire et accepter la politique de confidentialité et les conditions d’utilisation de KnowBe4. Après avoir lu les deux textes, cliquez sur I Accept (J’accepte).
4. Cochez la case située à côté de chaque catégorie pour laquelle vous souhaitez que PhishML fournisse une valeur de confiance lors de l’analyse d’un message.
5. (Facultatif) Pour définir une valeur seuil personnalisée pour chaque catégorie, cliquez et faites glisser le curseur vers la gauche ou vers la droite. Pour plus d’informations, consultez la section Définir les valeurs de confiance et les seuils ci-dessous.
6. Cliquez sur Enregistrer pour mettre à jour vos paramètres PhishML.

Définir les valeurs de confiance et les seuils

PhishML génère trois valeurs de confiance pour chaque message qu’il analyse. Les valeurs de confiance représentent le pourcentage de certitude qu’un message soit sûr, qu’il s’agisse d’un pourriel ou d’une menace. Vous pouvez voir les valeurs de confiance d’un message dans le sous-onglet Actions de la barre latérale dans la page Message Details (Détails du message).

Un seuil de confiance est le pourcentage de certitude minimum que PhishML doit atteindre ou dépasser pour qu’un message soit étiqueté comme étant sûr, une menace ou un pourriel. Lorsque le seuil de confiance est activé, PhishML n’applique des étiquettes qu’aux messages qui y correspondent. À partir de vos paramètres PhishER, vous pouvez activer ou désactiver les seuils de confiance. Lorsque vous activez un seuil de confiance, vous pouvez cliquer sur le curseur situé à côté et le faire glisser pour définir une valeur de seuil personnalisée. Chaque seuil de confiance peut être fixé à n’importe quelle valeur personnalisée comprise entre 51 et 100. Par défaut, la valeur de chaque seuil de confiance est réglée à 95.

Nous vous recommandons de fixer une valeur de seuil de confiance inférieure à 80 si vous souhaitez augmenter le nombre de messages qui sont automatiquement étiquetés comme sûrs, comme des pourriels ou comme des menaces par PhishML. Nous vous suggérons de fixer un seuil de confiance plus bas afin que PhishML identifie les messages qui sont soit des pourriels, soit des menaces. Ce paramètre permet également aux administrateurs PhishER de résoudre ou d’éliminer rapidement les messages sûrs et de donner la priorité aux messages qui ont besoin d’une analyse ou d’un examen plus approfondi.

Nous vous recommandons de fixer une valeur de seuil de confiance supérieure à 85 si vous souhaitez réduire le nombre de messages qui sont étiquetés comme sûrs, comme des pourriels ou comme des menaces par PhishML. Nous vous suggérons de fixer un seuil de confiance plus élevé afin que PhishML identifie les messages qui sont sûrs. Ce paramètre permet également aux administrateurs PhishER de donner la priorité aux messages qui ont besoin d’une analyse ou d’un examen plus approfondi.

Étiquettes PhishML

En fonction de son analyse, PhishML applique une étiquette à chacun de vos messages. Vous pouvez voir l’étiquette que PhishML a associée à un message dans le sous-onglet Actions de la barre latérale dans la page Message Details (Détails du message). Vous pouvez également ajouter et supprimer des étiquettes. Pour en savoir plus sur les étiquettes PhishML, consultez la liste ci-dessous :

• PML:CLEAN : Cette étiquette est appliquée à votre message lorsque PhishML détermine que celui-ci est sûr en fonction de votre seuil de confiance.
• PML:SPAM : Cette étiquette est appliquée à votre message lorsque PhishML détermine que celui-ci est un pourriel en fonction de votre seuil de confiance.
• PML:THREAT : Cette étiquette est appliquée à votre message lorsque PhishML détermine que celui-ci est une menace en fonction de votre seuil de confiance.
• PML:BYPASSED : Cette étiquette est associée à votre message lorsque l’analyse de PhishML n’aboutit pas. Vous pouvez essayer de réexécuter les règles et actions sur le message. Puis, si PhishML réussit, l’étiquette appropriée sera ajoutée au message.

Créer des actions recommandées avec des étiquettes PhishML

Une fois que vous avez configuré PhishML, nous vous recommandons de mettre en place trois actions avec les étiquettes PhishML pour aider votre organisation à identifier et à répondre rapidement aux menaces par courriel. Pour en savoir plus au sujet des paramètres de chaque action recommandée, consultez les sous-sections ci-dessous.

PML:THREAT (Messages à priorité élevée)

Vous pouvez créer cette action pour aider votre organisation à reconnaître et à prioriser les messages qui sont potentiellement malveillants et qui peuvent nécessiter une analyse approfondie. Pour créer une telle action, configurez les étapes 1, 2 et 3 conformément aux paramètres ci-dessous.

1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : Nous vous recommandons de sélectionner l’option Specify Tags (Préciser les étiquettes). Puis, sélectionnez Has any (A n’importe quelle) et entrez « PML:THREAT » comme étiquette.
2. Choose the action to be taken on matched messages (Choisir les actions à exécuter sur les messages correspondants) : Nous vous recommandons de sélectionner les options Set Status (Définir le statut), Set Priority (Définir la priorité) et Set Category (Définir la catégorie). Puis, réglez les menus déroulants selon les paramètres énumérés ci-dessous :
   • Set Status (Définir l’état) : sélectionnez In Review (En cours de vérification).
   • Set Priority (Définir la priorité) : sélectionnez Critical (Critique).
   • Set Category (Définir la catégorie) : sélectionnez Threat (Menace).
3. Choose how you would like to report this action (Choisir comment signaler cette action) : Nous vous recommandons l’une des options suivantes :
   • Créer un courriel de réponse personnalisé qui sera automatiquement envoyé aux destinataires sélectionnés. Pour en apprendre davantage au sujet de cette option, consultez la section Créer un courriel personnalisé pour votre action PhishML du présent article.
   • Créer une QuickAction (Action rapide) qui envoie une réponse automatisée aux destinataires sélectionnés lorsque vous exécutez l’action rapide manuellement. Pour en apprendre davantage au sujet de cette option, consultez la section Créer une QuickAction (Action rapide) pour votre action PhishML du présent article.

Après avoir sélectionné ces paramètres, vous pouvez configurer les paramètres restant pour l’action. Pour connaître d’autres paramètres recommandés, consultez les sections Créer un courriel personnalisé pour votre action PhishML et Créer une QuickAction (Action rapide) pour votre action PhishML du présent article. Pour plus d’informations au sujet des paramètres restants, consultez notre article Comment créer et gérer les actions PhishER.

PML:CLEAN (Messages à priorité moyenne)

Vous pouvez créer cette action pour aider votre organisation à reconnaître et à prioriser les messages qui sont considérés comme sûrs. Pour créer une telle action, configurez les étapes 1, 2 et 3 conformément aux paramètres ci-dessous.

1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : Nous vous recommandons de sélectionner l’option Specify Tags (Préciser les étiquettes). Puis, sélectionnez Has any (A n’importe quelle) et entrez « PML:CLEAN » comme étiquette.
2. Choose the action to be taken on matched messages (Choisir les actions à exécuter sur les messages correspondants) : Nous vous recommandons de sélectionner les options Set Status (Définir le statut), Set Priority (Définir la priorité) et Set Category (Définir la catégorie). Puis, réglez les menus déroulants selon les paramètres énumérés ci-dessous :
   • Set Status (Définir l’état) : sélectionnez Resolved (Résolu).
   • Set Priority (Définir la priorité) : sélectionnez Medium (Moyenne).
   • Set Category (Définir la catégorie) : sélectionnez Clean (Sûr).
3. Choose how you would like to report this action (Choisir comment signaler cette action) : Nous vous recommandons l’une des options suivantes :
   • Créer un courriel de réponse personnalisé qui sera automatiquement envoyé aux destinataires sélectionnés. Pour en apprendre davantage au sujet de cette option, consultez la section Créer un courriel personnalisé pour votre action PhishML du présent article.
   • Créer une QuickAction (Action rapide) qui envoie une réponse automatisée aux destinataires sélectionnés lorsque vous exécutez l’action rapide manuellement. Pour en apprendre davantage au sujet de cette option, consultez la section Créer une QuickAction (Action rapide) pour votre action PhishML du présent article.

Après avoir sélectionné ces paramètres, vous pouvez configurer les paramètres restant pour l’action. Pour connaître d’autres paramètres recommandés, consultez les sections Créer un courriel personnalisé pour votre action PhishML et Créer une QuickAction (Action rapide) pour votre action PhishML du présent article. Pour plus d’informations au sujet des paramètres restants, consultez notre article Comment créer et gérer les actions PhishER.

PML:SPAM (Messages à priorité faible)

Vous pouvez créer cette action pour aider votre organisation à reconnaître et à prioriser les messages qui sont considérés comme non sollicités, mais qui ne sont pas susceptibles d’être malveillants. Pour créer une telle action, configurez les étapes 1, 2 et 3 conformément aux paramètres ci-dessous.

1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : Nous vous recommandons de sélectionner l’option Specify Tags (Préciser les étiquettes). Puis, sélectionnez Has any (A n’importe quelle) et entrez « PML:SPAM » comme étiquette.
2. Choose the action to be taken on matched messages (Choisir les actions à exécuter sur les messages correspondants) : Nous vous recommandons de sélectionner les options Set Status (Définir le statut), Set Priority (Définir la priorité) et Set Category (Définir la catégorie). Puis, réglez les menus déroulants selon les paramètres énumérés ci-dessous :
   • Set Status (Définir l’état) : sélectionnez Résolu.
   • Set Priority (Définir la priorité) : sélectionnez Low (Faible).
   • Set Category (Définir la catégorie) : sélectionnez Spam (Pourriel).
3. Choose how you would like to report this action (Choisir comment signaler cette action) : Nous vous recommandons l’une des options suivantes :
   • Créer un courriel de réponse personnalisé qui sera automatiquement envoyé aux destinataires sélectionnés. Pour en apprendre davantage au sujet de cette option, consultez la section Créer un courriel personnalisé pour votre action PhishML du présent article.
   • Créer une QuickAction (Action rapide) qui envoie une réponse automatisée aux destinataires sélectionnés lorsque vous exécutez l’action rapide manuellement. Pour en apprendre davantage au sujet de cette option, consultez la section Créer une QuickAction (Action rapide) pour votre action PhishML du présent article.

Après avoir sélectionné ces paramètres, vous pouvez configurer les paramètres restant pour l’action. Pour connaître d’autres paramètres recommandés, consultez les sections Créer un courriel personnalisé pour votre action PhishML et Créer une QuickAction (Action rapide) pour votre action PhishML du présent article. Pour plus d’informations au sujet des paramètres restants, consultez notre article Comment créer et gérer les actions PhishER.

Créer un courriel personnalisé pour votre action PhishML

Pour envoyer automatiquement une notification lorsque vous exécutez une action, vous pouvez créer un courriel de réponse personnalisé que PhishER enverra automatiquement à tous les destinataires sélectionnés. Pour apprendre comment personnaliser ce courriel de réponse, consultez notre article Comment créer un modèle de courriel personnalisé dans PhishER.

Pour mettre en place un courriel de réponse et configurer les paramètres restants pour votre action, configurez les étapes 3, 4, 5 et 6 conformément aux paramètres ci-dessous.

1. Choose how you would like to report this action (Choisir comment signaler cette action) : Nous vous recommandons de sélectionner Send Email (Envoyer un courriel).
2. (Facultatif) Choose whether or not to halt further actions (Choisir de suspendre ou non les actions ultérieures) : Nous vous recommandons de cocher la case Stop executing further actions (Arrêter l’exécution d’autres actions). Si vous sélectionnez cette option, vous pouvez revoir tous les messages avec l’étiquette PhishML de votre action avant que d’autres actions soient déclenchées.
3. Choose QuickActions settings (Choisir les paramètres des actions rapides) : Nous vous recommandons de conserver les paramètres par défaut.
4. Choose whether or not to permanently delete matching messages (Choisir de supprimer les messages correspondants de manière permanente ou pas) : Nous vous recommandons de conserver les paramètres par défaut.

Créer une QuickAction (Action rapide) pour votre action PhishML

Pour signaler votre action manuellement, vous pouvez créer une QuickAction (Action rapide). Lorsque vous exécutez cette action rapide, elle envoie automatiquement un courriel de réponse aux destinataires sélectionnés.

Pour créer une QuickAction et configurer les paramètres restants pour votre action, configurez les étapes 3, 4, 5 et 6 conformément aux paramètres ci-dessous.

1. Choose how you would like to report this action (Choisir comment signaler cette action) : Nous vous recommandons de sélectionner None (Rien).
2. (Facultatif) Choose whether or not to halt further actions (Choisir de suspendre ou non les actions ultérieures) : Cochez la case Stop executing further actions (Arrêter l’exécution d’autres actions). Si vous sélectionnez cette option, vous pouvez revoir tous les messages avec l’étiquette PhishML de votre action avant que d’autres actions soient déclenchées.
3. Choose QuickActions settings (Choisir les paramètres des actions rapides) : Nous vous recommandons de conserver les paramètres par défaut.
4. Choose whether or not to permanently delete matching messages (Choisir de supprimer les messages correspondants de manière permanente ou pas) : Nous vous recommandons de conserver les paramètres par défaut.

Lorsque vous aurez enregistré votre nouvelle action, vous devrez créer une QuickAction qui envoie automatiquement un courriel de réponse lorsque vous l’exécutez. Pour créer une telle action, configurez les étapes de création d’une nouvelle action conformément aux paramètres ci-dessous :

1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : Nous vous recommandons de sélectionner Déclenchement manuel uniquement. Ce paramètre empêche que l’action s’exécute automatiquement. Vous pouvez l’exécuter manuellement en la sélectionnant dans le menu déroulant Run (Exécuter) ou dans la barre QuickActions (Actions rapides). Pour plus d’informations, consultez l’étape 5 ci-dessous.
2. Choose the action to be taken on matched messages (Choisir les actions à exécuter sur les messages correspondants) : Nous vous recommandons de conserver les paramètres par défaut.
3. Choose how you would like to report this action (Choisir comment signaler cette action) : Nous vous recommandons de sélectionner Send Email (Envoyer un courriel). À l’aide du modèle de courriel, créez un courriel de réponse personnalisé. Pour apprendre comment personnaliser ce courriel de réponse, consultez notre article Comment créer un modèle de courriel personnalisé dans PhishER.

1. Choose whether or not to halt further actions (Choisir de suspendre ou non les actions ultérieures) : Nous vous recommandons de conserver les paramètres par défaut.
2. Choose QuickActions settings (Choisir les paramètres des actions rapides) : Nous vous recommandons de cocher la case située à gauche de Include this action in the QuickAction bar (Inclure cette action dans la barre Actions Rapides). Cette action s’affichera ensuite dans la barre QuickActions (Actions rapides) de votre Inbox (Boîte de réception) PhishER et dans le sous-onglet Actions de la page Message Details (Détails du message).
3. Choose whether or not to permanently delete matching messages (Choisir de supprimer les messages correspondants de manière permanente ou pas) : Nous vous recommandons de conserver les paramètres par défaut.