Tests de sécurité vis-à-vis de l’hameçonnage

Partager

Cet article est-il utile ?

Dernière mise à jour :

Échecs et pourcentages de Phish-prone

Lors d’une campagne d’hameçonnage, un test de sécurité relatif à l’hameçonnage (PST) est envoyé à vos utilisateurs. La réussite ou l’échec au test de sécurité relatif à l’hameçonnage détermine le pourcentage de Phish-prone de l’utilisateur. Les utilisateurs ayant un faible pourcentage de Phish-prone sont moins susceptibles de se faire piéger par de véritables attaques par hameçonnage que ceux ayant un pourcentage plus élevé. Si vous souhaitez en savoir plus sur le PST, consultez notre article Présentation des tests de sécurité relatifs à l’hameçonnage (PST)

Qu’est-ce qu’un échec ?

Si un utilisateur interagit avec l’e-mail d’une manière dangereuse, cette action est considérée comme un échec et le test est un échec pour cet utilisateur. Les utilisateurs peuvent connaître plusieurs échecs à un PST lors d’une campagne d’hameçonnage. Les différents types d’échecs sont classés ci-dessous par ordre de gravité décroissante :

  • Saisie de données sur une page de destination
  • Saisie d’informations personnelles lors d’un appel dans le cadre d’un hameçonnage par rappel
  • Activation d’une macro dans une pièce jointe
  • Réponse à l’e-mail d’hameçonnage simulé
  • Ouverture d’une pièce jointe
  • Lecture d’un code QR
  • Appel du numéro de téléphone et saisie du code de rappel dans le cadre d’un e-mail d’hameçonnage par rappel
  • Clic sur le lien intégré

Mode de calcul du pourcentage de Phish-prone

Le pourcentage Phish-prone indique le pourcentage d’employés susceptibles de cliquer sur un lien d’hameçonnage. Il se distingue du Pourcentage d’échec aux tests d’hameçonnage, car il suit la manière exacte dont un utilisateur échoue. Un utilisateur peut commettre plusieurs erreurs sur un même e-mail et obtenir un pourcentage de Phish-prone supérieur à 100 %. Par exemple, si un utilisateur ouvre un e-mail, clique sur le lien et ouvre la pièce jointe, il cumule deux échecs pour un seul test d’hameçonnage. Cet utilisateur obtiendra donc un pourcentage personnel de Phish-prone de 200 %, car il a échoué deux fois à un seul test.

Plus un pourcentage personnel de Phish-prone est élevé, plus l’utilisateur est vulnérable à une attaque d’ingénierie sociale par e-mail. Si un utilisateur ouvre un e-mail d’hameçonnage simulé et cumule les échecs, cela signifie qu’il ne parvient pas à repérer les signaux d’alarme. Le fait de connaître le nombre et le type d’erreurs commises par un utilisateur peut permettre d’identifier la formation appropriée.

Pourcentage de Phish-prone d’une campagne

Un pourcentage de Phish-prone est calculé pour chaque campagne d’hameçonnage en divisant le nombre total d’échecs par le nombre total d’e-mails envoyés dans le cadre de cette campagne.

Si 100 personnes ont reçu l’e-mail et que 52 d’entre elles ont cliqué sur un lien contenu dans l’e-mail, la campagne enregistre un taux d’échec de 52 %. Si 8 de ces 52 personnes ont également saisi des données sur la page de destination, le pourcentage de Phish-prone de cette campagne passe alors à 60 %.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 28 sur 31

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance