Dans cet article, vous découvrirez les paramètres de Faux positifs d’évasion d’hameçonnage qui figurent dans la section Hameçonnage des Paramètres du compte de votre console KSAT. Si vous exécutez une campagne d’hameçonnage et que vous observez des résultats inhabituels, il s’agit peut-être de « faux » clics. Lorsque vous examinez les résultats d’une campagne, si vous constatez un taux de clics de 100 % ou des adresses IP qui n’appartiennent pas à votre organisation, cela peut indiquer des faux positifs. Les paramètres de Faux positifs d’évasion d’hameçonnage contribuent à limiter l’incidence de ces faux positifs et ainsi d’obtenir des résultats de campagne d’hameçonnage plus précis. Pour plus d’informations au sujet des clics robots, consultez la section Comment reconnaître les clics robots de notre article Reconnaître les faux positifs et y remédier.

Dans les simulations d’hameçonnage, les faux positifs sont souvent provoqués par de mauvaises pratiques d’inscription sur liste blanche, par l’interférence d’un inspecteur de lien ou par des stratégies de sécurité incorrectement configurées. Pour limiter ces problèmes, assurez-vous que vos filtres antipourriel soient bien configurés afin d’exclure les courriels d’hameçonnage de KnowBe4 des opérations d’inspection et de sondage des liens.

Assurez-vous que les hôtes intelligents et les stratégies de remise avancées correspondent aux paramètres de votre campagne. Lorsque vous examinez les faux positifs générés par les inspecteurs de liens, vérifiez la configuration de votre liste blanche et consultez les administrateurs des TI pour savoir si les paramètres de sécurité utilisés respectent les normes organisationnelles tout en réduisant l’occurrence des faux positifs.

Activer les paramètres de faux positifs d’évasion d’hameçonnage

Nous qualifions de « faux positifs » les échecs à l’hameçonnage qui se produisent sans qu’un utilisateur ait cliqué sur un lien d’hameçonnage. S’ils ne sont pas résolus, les faux positifs peuvent fausser les résultats de vos campagnes d’hameçonnage dans vos Rapports de test de sécurité en matière d’hameçonnage.

Les faux positifs d’évasion d’hameçonnage permettent de détecter l’accès à un lien caché dans un test de sécurité en matière d’hameçonnage (PST). Les échecs à l’hameçonnage qui se produisent lorsqu’un utilisateur accède à un lien caché sont signalés et ignorés s’ils se produisent au cours de la Durée prévue pendant laquelle les échecs associés à un robot doivent être ignorés. De plus, les adresses IP correspondant aux échecs liés à des robots et correspondant aux véritables échecs à l’hameçonnage sont comparées en fonction du paramètre Correspondance d’adresses IP pour les échecs associés à des robots et qui sont ignorées.

Vous pouvez activer et personnaliser les paramètres de Faux positifs d’évasion d’hameçonnage dans la section Hameçonnage des Paramètres du compte. Consultez la capture d’écran et la liste ci-dessous pour en apprendre davantage sur ces paramètres.

1. Ignorer les échecs à l’hameçonnage associés à des robots : Cochez cette case pour ignorer les échecs à l’hameçonnage associés à des robots qui se produisent peu de temps après l’ouverture d’un lien caché. Lorsque ce paramètre est activé, les options suivantes apparaissent : Durée pendant laquelle les échecs associés à des robots sont ignorés et Correspondance d’adresses IP pour les échecs associés à des robots qui sont ignorés.

   

2. Durée pendant laquelle les échecs associés à des robots sont ignorés : Vous pouvez sélectionner le délai, après qu’on ait accédé à un lien caché, pendant lequel les échecs à l’hameçonnage subséquents associés à un robot devront être ignorés. Les choix possibles sont les suivants : Prudente (5 s)Équilibrée (10 s) et Inclusive (30 s).
3. Correspondance d’adresses IP pour les échecs associés à des robots qui sont ignorés : Vous pouvez sélectionner le critère de correspondance requis pour ignorer les échecs à l’hameçonnage associés à des robots en fonction de la correspondance entre l’adresse IP du lien caché véritablement accédé et l’adresse IP d’où proviennent potentiellement les échecs à l’hameçonnage associés à des robots. Les options sont les suivantes : Aucune correspondance, Deux premiers octets et Correspondance exacte. L’option Deux premiers octets recherchera les adresses IP en fonction de leur identifiant de réseau de classe B. Par exemple, si l’adresse IP est 54.70.53.60, la recherche d’adresses IP se fera à l’intérieur du sous-réseau 54.70.0.0/16.

   

Comment consulter les détails des échecs à l’hameçonnage associés à des robots

Après avoir activé le paramètre Ignorer les échecs à l’hameçonnage associés à des robots, la liste des échecs ignorés de vos tests d’hameçonnage peut être consultée sur la page Utilisateurs > Échecs ignorés de vos campagnes d’hameçonnage.

Consultez la capture d’écran et la liste ci-dessous pour comprendre les données apparaissant dans cette section.

1. Nom et courriel : Cette colonne affiche le nom et l’adresse courriel des utilisateurs d’où provient l’échec associé à un robot et ayant été ignoré.
2. Date et heure : Cette colonne affiche la date et l’heure de l’échec associé à un robot et ayant été ignoré.
3. Intervalle entre les événements associés à des robots : Cette colonne affiche le temps écoulé, en secondes, depuis qu’on a accédé à un lien caché, pendant lequel les échecs à l’hameçonnage subséquents associés à un robot ont été ignorés.
4. Type d’échec ignoré : Cette colonne affiche le type d’échec associé à un robot et qui été ignoré. Dans notre exemple : « Clic ».
5. Adresse IP : Cette colonne affiche l’adresse IP de l’échec associé à un robot et qui été ignoré.
6. Navigateur : Cette colonne affiche le navigateur utilisé lors de l’échec associé à un robot qui été ignoré. Par exemple, Chrome.
7. Version du navigateur : Cette colonne affiche la version du navigateur utilisé lors de l’échec associé à un robot qui été ignoré.
8. Système d’exploitation : Cette colonne affiche le système d’exploitation sur lequel s’est produit l’échec associé à un robot qui été ignoré.
9. Événements associés à des robots : Cette colonne affiche le nombre d’échecs ignorés pour cet utilisateur. Notez que le compte s’arrête à 5, et que tout événement supplémentaire associé à un robot n’entraînera pas la mise à jour du reste des données de cette ligne. Si cela se produit, la colonne Événements associés à des robots indiquera « 5+ ».
10. Convertir en échec de la campagne (icône de poubelle) : En cliquant sur cette icône, la console convertira les échecs associés à des robots et ayant été ignorés en échecs de la campagne d’hameçonnage. Vous trouverez plus d’informations à ce sujet bas dans cette page.
11. Aperçu (icône d’enveloppe) : En cliquant sur cette icône, vous obtiendrez un aperçu du courriel de la campagne d’hameçonnage.

Comment convertir des échecs ignorés en véritables échecs

Vous pouvez convertir les échecs associés à des robots et ayant été ignorés en véritables échecs de la campagne d’hameçonnage si vous pensez qu’il s’agit de faux négatifs. Si vous croyez qu’un utilisateur a échoué à un test d’hameçonnage et que la console indique un événement d’échec ignoré et non un échec à l’hameçonnage, vous pouvez convertir cet échec ignoré en échec de la campagne d’hameçonnage.

Pour ce faire, suivez les instructions ci-dessous.

1. Dans votre console KSAT, accédez à Hameçonnage > Campagnes, puis sélectionnez votre campagne d’hameçonnage.
2. Accédez à Utilisateurs.
3. Sur le côté droit de la section Utilisateurs, cliquez sur Échecs ignorés.
4. Si vous voyez un échec ignoré que vous souhaitez convertir en véritable échec à l’hameçonnage, cliquez sur l’icône de poubelle qui apparaît du côté droit de l’écran.

   

5. On vous demandera de confirmer si vous voulez vraiment convertir l’événement associé à un robot en échec de la campagne, car l’opération ne pourra pas être annulée.

   

6. Cliquez sur le bouton Confirmer.
7. Un échec ignoré peut être converti une seule fois en échec à l’hameçonnage. L’icône de la poubelle sera grisée après que l’échec ignoré aura été converti en échec à l’hameçonnage.

   

8. Le Type d’échec ignoré sera visible uniquement après qu’il ait été converti en échec à l’hameçonnage. Par exemple, dans la capture d’écran ci-dessous, l’on peut voir que le Type d’échec ignoré est un échec provoqué par un clic.