Cet article décrit la procédure d’implémentation de la formation sur la sensibilisation à la sécurité et des tests d’hameçonnage simulé dans votre console KSAT. Lisez les sections ci-dessous pour en savoir plus.
Étape 1 : ajouter vos utilisateurs
Vous pouvez ajouter vos utilisateurs à votre console KSAT pour leur envoyer des e-mails de simulation d’hameçonnage et les inscrire à des campagnes de formation. Plusieurs méthodes permettent d’ajouter vos utilisateurs à votre console KSAT. Vous trouverez ci-dessous les différentes méthodes possibles et les liens vers les articles associés :
- Approvisionnement d’utilisateurs : nous vous recommandons d’utiliser cette méthode pour synchroniser les utilisateurs avec votre console KSAT et mettre à jour votre liste d’utilisateurs au fil du temps. Vous pouvez utiliser notre fonctionnalité Intégration Active Directory (ADI) ou SCIM pour effectuer automatiquement l’approvisionnement des utilisateurs dans votre console KSAT. Pour en savoir plus, consultez notre Guide de configuration de l’intégration Active Directory (ADI) ou notre Guide de configuration SCIM.
- Importation rapide : cette méthode est utile si vous souhaitez importer moins de 100 utilisateurs. Pour en savoir plus, consultez la section Importation rapide de notre article Utilisateurs et groupes.
- Importer un fichier CSV : cette méthode est utile pour importer un plus grand nombre d’utilisateurs et inclure d’autres données utilisateur telles que le nom, le numéro de téléphone, l’appartenance à des groupes, etc. Pour en savoir plus, consultez notre article Comment importer des utilisateurs à l’aide d’un fichier CSV.
- Autre : il existe d’autres méthodes d’importation d’utilisateurs pour votre organisation. Si vous avez besoin d’aide, veuillez contacter notre équipe d’assistance client ou consulter les articles suivants de notre base de connaissances :
Étape 2 : réaliser un test d’hameçonnage de référence
Avant de commencer votre programme de formation sur la sensibilisation à la sécurité, nous vous recommandons vivement d’envoyer un test d’hameçonnage de référence à tous vos utilisateurs. Ce test peut servir de point de départ à votre programme de formation sur la sensibilisation à la sécurité.
Pour en savoir plus sur nos recommandations concernant le processus de référence d’hameçonnage, consultez les sous-sections ci-dessous ou notre vidéo Campagne de simulation d’hameçonnage de référence d’une minute (clics).
Campagne test préliminaire
Avant de créer une campagne de simulation d’hameçonnage de référence pour vos utilisateurs, nous vous recommandons d’effectuer au moins une campagne test limitée à un petit groupe d’utilisateurs, par exemple à votre équipe informatique.
L’objectif de cette campagne préliminaire est de vous assurer que vous avez correctement configuré votre liste blanche et que les e-mails franchissent correctement vos filtres de courrier indésirable et votre pare-feu.
Cette campagne préliminaire permet également de vous assurer que les clics et autres échecs au test d’hameçonnage sont comptabilisés sur votre compte. Cliquez sur le lien d’hameçonnage simulé contenu dans votre e-mail test pour vous assurer que les échecs sont comptabilisés sur votre compte. Pour en savoir plus, consultez nos articles Créer et gérer des campagnes de simulation d’hameçonnage ou Comment surveiller et évaluer vos campagnes de simulation d’hameçonnage.
Établir un point de référence
Après avoir vérifié l’efficacité de votre campagne de simulation d’hameçonnage de référence préliminaire, créez une campagne de référence pour tous vos utilisateurs. Ce test permettra d’établir le pourcentage de Phish-prone (pourcentage de vulnérabilité à l’hameçonnage) initial de votre organisation. Utilisez ce pourcentage de Phish-prone initial comme point de départ. Servez-vous de ce pourcentage pour évaluer l’efficacité de votre plan de campagne de formation sur la sensibilisation à la sécurité.
Pour plus d’informations sur nos recommandations pour configurer votre campagne d’hameçonnage de référence, consultez nos articles Quelle est la meilleure méthode pour configurer un test de référence ? ou Quel e-mail devrais-je utiliser pour mon test de référence initial ?.
Envoyer un test de référence à votre équipe informatique
Vous pouvez également envoyer deux tests d’hameçonnage de référence : l’un à votre équipe informatique ou service client dans un premier temps, puis l’un autre au reste de vos collaborateurs. Ainsi, lorsque ces derniers commenceront à signaler l’e-mail suspect, les membres de votre équipe informatique ou de votre service client seront déjà au courant de la situation et auront eu également l’occasion de participer à l’évaluation de référence. C’est aussi un très bon moyen de vérifier que vous avez bien mis nos serveurs de messagerie sur liste blanche et que tout le monde recevra votre test de référence dans sa boîte de réception.
Étape 3 : former vos utilisateurs
Pour votre campagne de formation initiale sur la sensibilisation à la sécurité, nous vous recommandons d’inscrire tous vos utilisateurs au cours de formation sur la sensibilisation à la sécurité KnowBe4, d’une durée de 45 minutes, ou à un autre cours complet. Pour déterminer le contenu de formation auquel vous avez accès, consultez notre Guide sur le ModStore et la bibliothèque.
Pour en savoir plus sur nos recommandations pour configurer votre première campagne de formation, consultez notre article Créer votre première campagne de formation sur la sensibilisation à la sécurité.
Cliquez sur les liens ci-dessous pour en savoir plus sur la mise en place des campagnes de formation :
- Créer et gérer des campagnes de formation
- Comment configurer une campagne de formation de rattrapage
- Vidéo : Configurer une campagne de formation
- Vidéo : Surveiller les campagnes de formation
- Vidéo : Commencer la formation KnowBe4 sur la sensibilisation à la sécurité
Étape 4 : mener des campagnes continues de simulation d’hameçonnage et de formation
Mener des campagnes continues de simulation d’hameçonnage et de formation est essentiel pour aider votre organisation à gérer le problème de l’hameçonnage et de l’ingénierie sociale.
Vous pouvez choisir entre trois types de plan lorsque vous intégrez KnowBe4 à votre organisation : sensibilisation élevée, moyenne ou faible. Ces plans se caractérisent par ces niveaux de sensibilisation. Le niveau de sensibilisation de votre organisation dépend du degré de maturité que vous souhaitez atteindre avec votre programme de formation sur la sensibilisation à la sécurité. Pour en savoir plus sur les différents niveaux de sensibilisation, consultez notre article Guide des pratiques exemplaires : comment intégrer efficacement KnowBe4 à mon organisation.
Si vous n’êtes pas certain du plan qui convient le mieux à votre organisation, consultez les sections ci-après qui fournissent quelques recommandations générales en matière de formation sur la sensibilisation à la sécurité.
Recommandations relatives aux campagnes de simulation d’hameçonnage régulières
Envoyez un test d’hameçonnage à tous vos utilisateurs au moins une fois par mois. Pour ce faire, vous pouvez créer une campagne de simulation d’hameçonnage mensuelle, en veillant à :
- Inclure plusieurs catégories d’e-mails et différents types de tests d’hameçonnage.
- Diffuser des e-mails sur une durée plus étendue, par exemple une semaine. En procédant ainsi, les utilisateurs ne savent pas à quel moment ils vont recevoir un test d’hameçonnage.
- Ajouter à un groupe de formation de rattrapage les utilisateurs ayant échoué au test.
En complément de vos tests d’hameçonnage mensuels destinés à tous les utilisateurs, nous vous recommandons de configurer des tests supplémentaires pour vos départements ou employés à risque élevé, plus vulnérables aux attaques par hameçonnage.
Pour découvrir comment identifier les départements ou employés qui représentent le risque maximal pour votre organisation, consultez notre Guide sur le Virtual Risk Officer (VRO) et le score de risque.
Pour plus d’informations sur la création et la personnalisation des campagnes de simulation d’hameçonnage, consultez les articles suivants :
- Créer et gérer des campagnes de simulation d’hameçonnage
- Personnalisation des e-mails et des pages de destination
- Comment utiliser le texte générique ?
- Comment utiliser le texte générique ? Exemples concrets
Recommandations relatives à la continuité de la formation
Vous trouverez ci-dessous nos recommandations de base pour mettre en place une formation sur la sensibilisation à la sécurité de façon continue dans tout type d’organisation :
- Créez un groupe et une campagne de formation de rattrapage. Pour en savoir plus sur les campagnes de formation de rattrapage, consultez notre article Comment configurer une campagne de formation de rattrapage ou visionnez notre vidéo Campagnes de formation de rattrapage.
- Entraînez des groupes ou des employés spécifiques, à l’aide d’une formation basée sur le rôle et d’autres cours spécialisés. Nous vous recommandons de parcourir le ModStore pour rechercher les cours dont vous avez besoin. Pour en savoir plus, consultez notre Guide sur le ModStore et la bibliothèque.
- Configurez une campagne mensuelle pour envoyer des e-mails regroupant des conseils de sécurité à vos utilisateurs. Pour en savoir plus, consulter notre article Qu’est-ce que la newsletter Conseils de sécurité ?.
- Pour sensibiliser régulièrement vos utilisateurs et leur donner les moyens de se défendre contre les dernières stratégies d’hameçonnage et d’ingénierie sociale, configurez une campagne d’e-mails Escroquerie de la semaine. Pour en savoir plus, consultez notre article Qu’est-ce que la newsletter Escroquerie de la semaine ?.