Avant de commencer votre programme de formation sur la sensibilisation à la sécurité, nous vous recommandons vivement d'envoyer à tous vos utilisateurs un test d’hameçonnage simulé non annoncé. Ce test vous aidera à établir une référence pour votre organisation.

Les résultats de ce test d’hameçonnage de référence reflèteront le pourcentage de Phish-prone (Pourcentage de vulnérabilité à l’hameçonnage) initial de votre organisation. Le pourcentage de Phish-prone indique la part d’utilisateurs susceptibles de cliquer sur un e-mail d’hameçonnage. Considérez ce pourcentage initial comme la référence ou le point de départ pour votre organisation. Le pourcentage de Phish-prone global de votre organisation, ou pourcentage de Phish-prone moyen du compte, est basé sur le pourcentage de Phish-prone de vos utilisateurs actifs qui ont reçu au moins un test de sécurité vis-à-vis de l’hameçonnage. Lorsque vous effectuez des tests d’hameçonnage continus, comparez le pourcentage de Phish-prone de votre organisation avec le pourcentage initial pour mesurer la réussite de votre plan de formation sur la sensibilisation à la sécurité.

Pourquoi ne devrais-je pas annoncer le test ?

Nous recommandons d'effectuer un test d’hameçonnage de référence non annoncé afin d’obtenir les résultats les plus précis. Vous pouvez ainsi voir à quel point votre organisation serait vulnérable si une véritable attaque d’hameçonnage passait à travers vos filtres de messagerie. Un tel point de vue vous aide à obtenir l'adhésion de vos parties prenantes. Pour en savoir plus, consultez les sections suivantes : Comment puis-je impliquer mes parties prenantes dans mon plan de formation sur la sensibilisation à la sécurité ?

Paramètres recommandés pour la campagne de test de référence

Conseil :après avoir établi votre liste blanche et avant de créer une campagne de simulation d’hameçonnage de référence, nous vous recommandons d'exécuter au moins une campagne de test limitée à un petit groupe d’utilisateurs. Pour en savoir plus, consultez la section Campagne de test préliminaire de notre Guide de mise en œuvre rapide.

Afin de créer une campagne de référence, accédez à Hameçonnage > + Créer une campagne d’hameçonnage. Nous vous recommandons d’utiliser les paramètres suivants pour votre campagne de test de référence :

Remarque : toutes les campagnes d’hameçonnage sont localisées par défaut.

1. Nom de la campagne : donnez à votre campagne un nom descriptif ; par exemple « Test de référence ».
2. Envoyer à : Sélectionnez Tous les utilisateurs.
3. Fréquence : Sélectionnez Unique.
4. Heure de début : Dans les menus déroulants, sélectionnez la date et l’heure souhaitée pour votre test de référence. Sélectionnez les heures ouvrables de l’organisation, autrement dit les heures pendant lesquelles vos utilisateurs consultent activement leurs e-mails.
5. Période d’envoi : Sélectionnez Envoyer tous les e-mails au démarrage de la campagne. Lorsque ce paramètre est sélectionné, l’envoi des e-mails commencera dès le début de la campagne. Le moment de l’envoi et de la livraison varie en fonction du nombre d’utilisateurs de la campagne. Dans la plupart des cas, tous les e-mails seront envoyés dans l’heure qui suit le début de la campagne.
6. Surveiller l’activité : Nous vous recommandons d’effectuer un suivi des échecs au test d’hameçonnage pendant au moins trois jours. Pour plus d’informations sur les périodes d’envoi et de suivi, consultez notre article Comment surveiller et évaluer vos campagnes d’hameçonnage.
7. Suivre les réponses aux e-mails d’hameçonnage : Vous pouvez activer ce paramètre si vous souhaitez suivre les réponses de vos utilisateurs aux e-mails de tests d’hameçonnage. Pour en savoir plus sur le suivi des réponses aux e-mails d’hameçonnage, consultez notre article Suivi des réponses aux e-mails d’hameçonnage.
8. Thèmes du modèle : sélectionnez la catégorie Hameçonnage d’informations sensibles dans le menu déroulant.
9. Définir la langue du modèle : lorsqu’il est activé, ce paramètre remplace la langue d’hameçonnage définie dans le profil des utilisateurs. Pour en savoir plus sur les paramètres de langue, consultez notre Guide de localisation.
10. Niveau de difficulté : ce paramètre permet d’évaluer le degré de sophistication d’un modèle et la probabilité qu’il trompe vos utilisateurs. Pour les besoins de cette campagne, conservez le paramètre Niveau de difficulté sur Tous les niveaux.
11. Sélection de modèle : dans le menu déroulant, sélectionnez Modèle spécifique (choisir un modèle).
12. Modèle spécifique : sélectionnez le modèle d’hameçonnage Informatique : vérification du mot de passe requise immédiatement. 
    1. Aperçu : cliquez sur Voir un aperçu pour visualiser le modèle d’hameçonnage que vous envoyez à vos utilisateurs.
13. Domaine du lien d’hameçonnage : choisissez le domaine que vous souhaitez utiliser dans le lien d’hameçonnage. Il s’agit du domaine que vos utilisateurs voient lorsqu’ils passent le pointeur de la souris sur le lien d’hameçonnage ; choisissez un lien d’hameçonnage qui semble sans danger.
14. Page de destination : conservez les pages de destination par défaut sélectionnées.
15. Ajouter les cliqueurs à : vous n’avez pas besoin d’opérer une sélection pour cette campagne.
16. Envoyer un rapport par e-mail aux administrateurs de compte après chaque test relatif à l’hameçonnage : Cochez cette case pour qu’un e-mail soit envoyé à tous vos administrateurs de compte une fois le test terminé. Ce rapport d’e-mail est envoyé aux administrateurs une fois la période Surveiller l’activité terminée.

Après le test de référence

À l’issue du test d’hameçonnage de référence, vos utilisateurs peuvent se sentir confus ou inquiets à cause de l’e-mail qu’ils ont reçu. Pour dissiper cette confusion, nous vous recommandons d'envoyer un e-mail expliquant ce qu'était le test d’hameçonnage. Vous pouvez même communiquer le pourcentage de Phish-prone de votre organisation pour souligner l'importance de la formation sur la sensibilisation à la sécurité. Nous avons fourni un modèle que vous pouvez utiliser pour cet e-mail, veuillez consulter : Modèle à utiliser après votre test d’hameçonnage de référence.

Nous recommandons d'inscrire vos utilisateurs à une formation sur la sensibilisation à la sécurité peu de temps après avoir effectué votre test d’hameçonnage de référence. Pour en savoir plus, consultez le Guides des bonnes pratiques : créer votre première campagne de formation.

Une fois que les utilisateurs ont terminé leur formation initiale sur la sensibilisation à la sécurité, nous vous recommandons d’effectuer des tests d’hameçonnage en continu afin que vos utilisateurs puissent mettre en pratique les compétences acquises dans le cadre de leur formation. Pour en savoir plus sur les tests d’hameçonnage en continu, consultez notre Guide sur les meilleures pratiques.