FAQ et dépannage

Partager

C’est article est-il utile?

Dernière mise à jour :

Reconnaître les faux positifs et y remédier

Si vous exécutez une campagne d’hameçonnage et que ses résultats vous semblent inhabituels, vous avez peut-être affaire à de faux clics. Lors de l’examen des résultats d’une campagne, si vous constatez un taux de clics de 100 % ou des adresses IP qui n’appartiennent pas à votre organisation, cela peut indiquer des faux positifs. Voici certaines des causes les plus courantes à l’origine des faux positifs, ainsi que quelques conseils pour y remédier.

Que considère-t-on comme un clic?

Les clics sont ce que nous enregistrons lorsqu’un utilisateur clique sur un lien dans un courriel de simulation d’hameçonnage. Cependant, d’autres types de clics peuvent être enregistrés. Nous appelons « faux positifs » les clics ne provenant pas d’un utilisateur cliquant sur un lien d’hameçonnage. Voici quelques causes courantes des faux positifs :

  • Une erreur de configuration de la liste blanche de votre filtre antipourriel. Une configuration incorrecte peut provoquer des clics automatisés, ou « clics robots ». Pour apprendre à reconnaître un clic robot, veuillez consulter la section Comment reconnaître les clics robots ci-dessous.
  • Des paramètres de liste blanche supplémentaires sont peut-être nécessaires. La liste blanche de votre filtre antipourriel nécessite peut-être une meilleure configuration afin d’exclure les courriels d’hameçonnage simulé des analyses et des sondages de liens.
  • Des filtres de messagerie équipés de programmes complémentaires de sécurité qui ne figurent pas sur la liste blanche.
  • La sécurité de points d’extrémité ou un logiciel antivirus.
  • Des fonctions d’aperçu des liens intégrées aux systèmes d’exploitation des appareils mobiles.
  • Un logiciel de sécurité intégré aux systèmes de gestion des appareils mobiles.
  • Des courriels d’hameçonnage transférés d’un utilisateur à l’autre. Cette action peut être enregistrée comme un clic, car le courriel transféré a été isolé dans un bac à sable et vérifié par le serveur de messagerie, ou parce que le destinataire du courriel transféré a cliqué sur le lien.

Comment reconnaître les clics robots

Des erreurs de configuration de liste blanche ou une configuration incomplète peuvent être à l’origine de clics robots. Les clics robots sont provoqués par un processus automatisé au sein de votre infrastructure. Vous pouvez reconnaître les clics robots en vérifiant les résultats de vos campagnes d’hameçonnage. Voici quelques moyens de reconnaître les clics robots :

  • L’horodatage figurant dans les colonnes Distribué, Ouvert et Cliqué est le même pour tous les clics ou ne diffère que d’une minute.
  • L’onglet Cliqué indique un navigateur ou une version de navigateur qui n’est pas utilisé dans votre environnement ou qui est obsolète.
  • Le système d’exploitation référencé n’est pas accessible à vos utilisateurs dans votre environnement.
  • L’adresse IP appartient au fournisseur de l’un de vos produits de sécurité.

Adresses IP inattendues dans les résultats de la campagne

Lorsqu’un clic est enregistré dans la console, l’adresse IP d’où il provient est enregistrée. Voici quelques exemples expliquant pourquoi vous pourriez voir apparaître des adresses IP inattendues :

  • Si un utilisateur utilise un appareil mobile et qu’il clique sur un lien, le clic pourrait être enregistré comme provenant du fournisseur de service cellulaire.
  • Si un utilisateur utilise son Wi-Fi personnel, à la maison, le clic pourrait être enregistré comme provenant de son fournisseur de services Internet.
  • Si un utilisateur utilise un Wi-Fi public, le clic pourrait être enregistré comme provenant de l’emplacement où se trouvait l’utilisateur au moment du clic.
  • Si vous ou l’un de vos produits utilisez un fournisseur de services hébergés comme AWS, l’adresse IP peut provenir d’un autre emplacement, ou même d’un autre pays. Certains processus d’analyse de liens peuvent ne pas être effectués côté client. Le lien est alors envoyé au centre principal de traitement ou d’analyse du fournisseur de sécurité.
  • Si l’URL est envoyée à VirusTotal, l’adresse IP peut provenir d’un autre emplacement. Ce lien peut être envoyé automatiquement par un produit que vous utilisez ou par l’utilisateur. Lorsqu’une URL est soumise à VirusTotal, celui-ci analyse l’URL pour déterminer si elle doit être ajoutée à ses définitions de menaces en tant qu’élément malveillant. Parfois, cette analyse de lien a lieu instantanément. À d’autres moments, elle peut s’étaler sur plusieurs heures. Ces adresses IP peuvent être interprétées comme provenant d’un fournisseur de services de sécurité ou d’un fournisseur de services Internet.

Causes courantes des faux positifs

Dans les cas de simulations d’hameçonnage, les faux positifs proviennent généralement de trois sources principales :

  • Interférence des inspecteurs de liens : les outils de sécurité qui sélectionnent automatiquement les liens avant que les utilisateurs ne voient les courriels.
  • Liste blanche inadéquate : les domaines de KnowBe4 ne sont pas correctement exclus des inspections de sécurité.
  • Stratégies incorrectement configurées : les filtres antipourriel ou les règles de flux de messagerie qui entrent en conflit avec la distribution des tests d’hameçonnage.

Pour limiter l’occurrence de faux positifs, configurez adéquatement votre filtre antipourriel pour exclure les courriels d’hameçonnage de KnowBe4 des analyses et sondages de liens. Assurez-vous que les hôtes intelligents et les stratégies de remise avancées correspondent à la configuration de votre campagne. Lors de l’analyse des problèmes liés à l’inspection des liens, vérifiez vos paramètres de liste blanche avec les administrateurs des TI afin de trouver un juste équilibre entre les exigences de sécurité et la précision des indicateurs de formation.

Comment empêcher les faux positifs

Le plus important pour éviter les faux positifs consiste à bien connaître votre infrastructure. Étant donné qu’il existe une grande diversité de produits logiciels pour la sécurité, il est conseillé de consulter la documentation des logiciels et fournisseurs de services que vous utilisez, afin de voir s’il s’y trouve une section concernant la manière d’exempter des liens ou des domaines des inspections des analyses et du sondage de liens.

Vous pouvez également exécuter des campagnes de tests à partir de quelques modèles différents, en utilisant des appareils ayant la même configuration que les postes de vos utilisateurs. Ces campagnes de test peuvent vous aider à savoir si votre configuration actuelle provoque des faux positifs.

Assurez-vous que vos utilisateurs signalent les courriels uniquement à l’aide du Phish Alert Button et non avec le bouton de signalement de l’hameçonnage de votre serveur de messagerie ou avec tout autre fonctionnalité de signalement tierce.

Vérifiez si vos produits de sécurité comportent des options supplémentaires de configuration de liste blanche. Si possible, ajoutez nos domaines de lien d’hameçonnage et nos domaines de page de destination à votre liste blanche. Cette mesure supplémentaire peut aider à empêcher les faux positifs. Pour connaître la liste de nos domaines racines d’hameçonnage, accédez à l’onglet Hameçonnage de votre console KnowBe4 et sélectionnez l’onglet Domaines. Pour en savoir plus au sujet de l’onglet Domaines, consultez notre article Gérer les domaines de lien d’hameçonnage.

Si vous rencontrez encore des problèmes avec les faux positifs, contactez notre équipe d’assistance équipe d’assistance.

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 9 sur 13

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance