Nos clients nous demandent fréquemment quelle est la meilleure façon d’intégrer KnowBe4 dans les pratiques générales de sécurité de leur organisation. Bien qu’il n’existe pas de plan de défense standard en matière de cybersécurité qui convienne à toutes les organisations ou à tous les secteurs d’activité, les exemples proposés ci-dessous peuvent servir de point de départ pour vous aider à gérer le problème de l’ingénierie sociale au sein de votre organisation.
Conjointement à ce guide ou en tant qu’alternative à celui-ci, nous vous recommandons d’utiliser notre produit Automated Security Awareness Program (ASAP). Intégrée à votre console, cette fonctionnalité vous fournira un plan de sécurité personnalisé et détaillé comprenant des instructions étape par étape pour construire un pare-feu humain solide.
Notre produit n’a pas été conçu pour remplacer les filtres de courrier indésirable, les pare-feu ou les solutions anti-virus de qualité. C’est un outil à utiliser en complément d’autres produits dans le cadre d’une stratégie de défense en profondeur. Ce que nous vous offrons, c’est une plateforme facile à utiliser qui peut vous aider à gérer les problèmes qui se produisent lorsqu’une attaque parvient à franchir ces autres mécanismes de défense. Vos employés sont votre dernière ligne de défense. En utilisant les services de KnowBe4, vous préparerez vos utilisateurs à mieux défendre votre organisation contre les cyberattaques.
Première étape : lisez l’article ci-dessous pour savoir ce que vous devez faire avant de « passer à l’hameçonnage ».
Commencer avec la console KnowBe4
Cet article décrit les étapes permettant d’importer des utilisateurs, d’inscrire nos serveurs sur liste blanche, de personnaliser votre console, et plus encore.
Deuxième étape : choisissez un type de plan pour intégrer KnowBe4 : sensibilisation faible, moyenne ou élevée
Il existe trois types de plans : sensibilisation faible, moyenne et élevée. Ces plans dépendent du niveau de maturité que vous souhaitez atteindre avec votre programme de sensibilisation à la sécurité. Nous vous conseillons de choisir le plan Sensibilisation élevée pour de meilleurs résultats. Personne n’est cependant mieux placé que vous pour décider de la manière dont votre organisation doit mettre en œuvre nos services.
Quel que soit le plan que vous choisissez, chacun de nos plans de formation sur la sensibilisation à la sécurité pour les nouveaux établissements repose sur un processus en trois étapes. Ce processus est décrit ci-dessous :
- Effectuez un test d’hameçonnage de référence pour déterminer le pourcentage de Phish-prone de votre organisation.
- Évaluez le niveau de connaissances actuel de vos utilisateurs en matière de sensibilisation à la sécurité. Ensuite, assignez une formation sur la sensibilisation à la sécurité à tous vos utilisateurs afin d’accroître leurs connaissances.
- Menez des campagnes d’hameçonnage en continu. Ces campagnes permettent à vos utilisateurs d’appliquer les compétences acquises avec leur formation sur la sensibilisation à la sécurité.
Cliquez sur les liens ci-dessous pour accéder au plan correspondant.
Sensibilisation élevée
Ce plan rappellera en permanence à vos utilisateurs de se soucier de la sécurité. Nous recommandons vivement ce plan pour les organisations exposées à un risque élevé ou manipulant des informations sensibles.
Cliquez sur chaque étape pour plus de détails :
- Mobiliser vos parties prenantes
- Effectuer un test de référence à l’aveugle
- Commencer par hameçonner votre service informatique pour éviter de surcharger votre service d’assistance
- Communiquer avec vos employés
- Évaluer le niveau de sensibilisation à la sécurité de vos utilisateurs
- Inscrire les employés à la formation sur la sensibilisation à la sécurité
- Installer le Phish Alert Button
- Déterminer la culture de la sécurité de votre organisation
- Améliorer le plan de gestion de la réaction aux incidents par e-mail
- Créer votre groupe de cliqueurs
- Continuer l’hameçonnage de vos utilisateurs
- Envoyer le bulletin d’informations Conseils de sécurité ou Escroquerie de la semaine
- Lancer une campagne de formation de remise à niveau pour les cliqueurs
- Programmer une formation supplémentaire sur la sécurité chaque trimestre
- Effectuer des tests supplémentaires sur la vulnérabilité chaque trimestre
Mobiliser vos parties prenantes
Pour que votre organisation tire parti au mieux du programme qu’elle a choisi, il est essentiel d’obtenir l’adhésion des parties prenantes. Consultez l’article ci-dessous pour découvrir un exemple d’e-mail que vous pouvez modifier et envoyer aux parties prenantes internes de votre organisation.
Retour vers les détails du plan de sensibilisation élevée
Effectuer un test de référence à l’aveugle
Avant de commencer la formation de vos utilisateurs sur la sensibilisation à la sécurité, nous vous recommandons vivement d’effectuer un test d’hameçonnage à l’aveugle de tous vos utilisateurs à titre de référence.
Appuyez-vous sur les instructions de l’article suivant pour comprendre comment configurer ce test.
Impliquer mes parties prenantes dans mon plan de formation sur la sensibilisation à la sécurité
Guide des bonnes pratiques : configurer un test de référence
Réfléchissez également au type de page de destination que vous utiliserez pour votre test de référence à l’aveugle. En utilisant des pages de destination, vous avez la possibilité d’influencer la réaction de vos utilisateurs au test d’hameçonnage. Consultez le lien ci-dessous pour découvrir quels sont les différents types de pages de destination et quelle peut être la réaction de vos utilisateurs lorsqu’ils y sont confrontés.
Retour vers les détails du plan de sensibilisation élevée
Commencer par hameçonner votre service informatique pour éviter de surcharger votre service d’assistance
Vous pouvez également envoyer deux tests d’hameçonnage de référence : un à votre service d’assistance/informatique dans un premier temps, puis un autre au reste de vos collaborateurs. Ainsi, lorsque ces derniers commenceront à signaler l’e-mail suspect, les membres de votre service d’assistance seront au courant de la situation et ils auront eu également l’opportunité de participer au test de référence. C’est également un très bon moyen de vérifier que vous avez bien mis nos serveurs de messagerie sur liste blanche et que tout le monde recevra votre test de référence dans sa boîte de réception.
Retour vers les détails du plan de sensibilisation élevée
Communiquer avec vos employés
Une fois le test de référence effectué, les employés qui ont reçu l’e-mail d’hameçonnage simulé peuvent être perturbés. Ceux qui ont cliqué sur le lien d’hameçonnage peuvent s’inquiéter de possibles répercussions. Une fois votre campagne d’hameçonnage de référence terminée, nous vous conseillons d’expliquer qu’un test a été effectué en précisant pourquoi.
Vous pouvez profiter de cette occasion pour insister sur l’importance pour chacun de suivre une formation sur la sensibilisation à la sécurité. Le fait d’informer vos utilisateurs de la menace potentielle qui pèse sur l’organisation ou sur eux-mêmes peut accroître leur niveau de participation lorsqu’ils seront inscrits à la formation. Nous vous proposons un modèle à cet effet, disponible via le lien ci-dessous.
Modèle à utiliser après votre test d’hameçonnage de référence
Retour vers les détails du plan de sensibilisation élevée
Évaluer le niveau de sensibilisation à la sécurité de vos utilisateurs
Avant d’inscrire vos utilisateurs à la formation sur la sensibilisation à la sécurité, il est important de connaître leur niveau de départ en sensibilisation à la sécurité pour pouvoir mesurer les progrès au fil du temps. Assignez à vos utilisateurs l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA) pour tester leurs connaissances dans les différents domaines de connaissance. Nous vous recommandons d’assigner l’évaluation SAPA après votre premier test d’hameçonnage, mais avant votre première campagne de formation. Assignez l’évaluation SAPA à vos utilisateurs tous les ans pour mesurer l’évolution de vos forces et de vos faiblesses.
Utilisez les liens ci-dessous pour découvrir comment ajouter des évaluations et en savoir plus sur l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA).
Guide relatif aux évaluations organisationnelles
Présentation de l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA)
Retour vers les détails du plan de sensibilisation élevée
Inscrire les employés à la formation sur la sensibilisation à la sécurité
Une fois votre test de référence terminé, configurez la formation sur la sensibilisation à la sécurité pour tous vos utilisateurs. Vous devez cependant configurer au préalable votre Learner Experience et décider si vous souhaitez inclure l’apprentissage par le jeu dans votre programme de formation.
Nous vous recommandons vivement d’inscrire tous vos employés à notre formation sur la sensibilisation à la sécurité KnowBe4 de 45 minutes ou à un cours complet similaire pour votre première campagne de formation. Vous pouvez également ajouter des politiques aux campagnes de formation et exiger que vos utilisateurs acceptent ou prennent acte de ces politiques. Pour en savoir plus, consultez l’article Créer et gérer des politiques.
Pour aider les utilisateurs à commencer leur formation, nous nous conseillons de leur envoyer un lien vers une de nos vidéos de prise en main. Chaque vidéo comporte des instructions uniques basées sur vos paramètres de connexion et explique comment utiliser la Learner Experience. Utilisez les liens ci-dessous pour déterminer quelle vidéo correspond le mieux à votre organisation :
- Guide pour les utilisateurs avec les paramètres de connexion par défaut
- Guide pour les utilisateurs avec l’authentification unique activée
- Guide pour les utilisateurs avec la connexion sans mot de passe activée
Pour obtenir des recommandations sur la manière de configurer votre première campagne de formation sur la sensibilisation à la sécurité, consultez le lien ci-dessous.
Guide des bonnes pratiques : créer votre première campagne de formation
Retour vers les détails du plan de sensibilisation élevée
Installer le Phish Alert Button
Le Phish Alert Button (PAB) est un outil gratuit que vous pouvez utiliser pour encourager vos utilisateurs à interagir suite à leur formation sur la sécurité. Le PAB est un module complémentaire pour votre client de messagerie (consultez notre matrice de compatibilité du PAB ici) qui permet à vos utilisateurs de signaler tout message susceptible d’être un e-mail d’hameçonnage. Le message signalé peut être un test d’hameçonnage simulé de KnowBe4 ou une éventuelle cyberattaque réelle.
Pour en savoir plus sur le PAB et sur les informations à communiquer à vos utilisateurs une fois qu’il a été installé, consultez le lien ci-dessous.
Bonnes pratiques : implémentation du Phish Alert Button (PAB)
Retour vers les détails du plan de sensibilisation élevée
Déterminer la culture de la sécurité de votre organisation
Pour que votre formation sur la sensibilisation à la sécurité soit vraiment efficace, vous devez mettre en place une solide culture de la sécurité. La culture de la sécurité reflète les idées, les habitudes et les comportements sociaux qui ont une incidence sur la sécurité de votre organisation. Le sondage sur la culture de la sécurité décompose la culture de sécurité de votre organisation en sept dimensions différentes. Utilisez ce sondage pour déterminer quelles dimensions méritent d’être renforcées et comment évolue votre culture de la sécurité au fil du temps. Effectuez un sondage de vos utilisateurs une fois par an pour mesurer les progrès accomplis.
Utilisez les liens ci-dessous pour découvrir comment ajouter des évaluations et en savoir plus sur le sondage sur la culture de la sécurité (SCS).
Guide relatif aux évaluations organisationnelles
Présentation du sondage sur la culture de la sécurité (SCS)
Retour vers les détails du plan de sensibilisation élevée
Améliorer le plan de gestion de la réaction aux incidents par e-mail
Si vous décidez d’utiliser le PAB, ou si vous demandez à vos utilisateurs de transférer les e-mails suspects ou potentiellement malveillants à un service ou à une adresse e-mail spécifique de votre organisation, vous aurez besoin d’un produit qui vous permette de gérer les e-mails ayant été transférés, de les analyser et de les traiter efficacement. PhishER est une plateforme qui peut être utilisée à cette fin.
En utilisant PhishER comme un contrôle de détection de la sécurité, votre organisation peut identifier les menaces potentielles et renforcer vos mesures de sécurité et votre plan de défense en profondeur. PhishER peut être utilisé de façon transparente avec le PAB pour gérer les e-mails d’hameçonnage signalés, mais vous pouvez également transférer les e-mails signalés à votre boîte de réception PhishER. Pour en savoir plus sur PhishER, consultez notre Manuel de produit PhishER.
Retour vers les détails du plan de sensibilisation élevée
Créer votre groupe de cliqueurs
Cliquez sur Utilisateurs, puis sur l’onglet Groupes. Vous accéderez alors à l’option permettant de créer un groupe. Vous pouvez créer un groupe pour vos utilisateurs Phish-prone, les « cliqueurs ». Vous pourrez utiliser ce groupe dans de futures campagnes d’hameçonnage et mettre en place une formation de remise à niveau automatisée pour les utilisateurs qui continuent à échouer à vos tests d’hameçonnage. Les clients Platine et Diamant peuvent également créer un groupe intelligent qui rassemblera automatiquement les utilisateurs qui échouent aux tests d’hameçonnage.
Retour vers les détails du plan de sensibilisation élevée
Continuer l’hameçonnage de vos utilisateurs
Effectuer un test d’hameçonnage deux fois par semaine
Pour le plan de sensibilisation élevée, nous vous recommandons de tester tous vos utilisateurs deux fois par semaine au minimum. Des tests d’hameçonnage réguliers permettront à vos utilisateurs de mettre en pratique les compétences acquises lors de la formation sur la sensibilisation à la sécurité.
Vous trouverez ci-dessous les paramètres recommandés pour tirer pleinement profit de la variété des e-mails d’hameçonnage utilisés et échelonner l’envoi des e-mails sur la durée. Cette méthode est totalement aléatoire et permet d’éviter que des employés ne préviennent leurs collègues qu’un test d’hameçonnage est en cours.
- Fréquence : bihebdomadaire.
-
Envoi : envoyez vos e-mails sur une période de trois jours ouvrables au minimum.
- De cette façon, l’e-mail n’arrivera pas au même moment pour tous les utilisateurs, ce qui permet d’éviter que des employés ne préviennent leurs collègues qu’un test d’hameçonnage est en cours.
- Surveiller l’activité : suivez les échecs au test d’hameçonnage pendant au moins trois jours.
- Surveiller les réponses : nous vous recommandons d’activer ce paramètre. Pour en savoir plus sur le suivi des réponses aux e-mails d’hameçonnage, consultez notre article Suivi des réponses aux e-mails d’hameçonnage.
-
Catégories : choisissez plusieurs catégories de modèles et sélectionnez l’option « Entièrement aléatoire » dans la liste déroulante des modèles pour choisir un modèle aléatoire pour chaque utilisateur.
- Excluez les langues non pertinentes, les catégories Conseils de sécurité et Escroquerie de la semaine.
-
Niveau de difficulté : (facultatif)
- Si vous le souhaitez, vous pouvez limiter à cet endroit le niveau de difficulté des modèles que vous avez sélectionnés à un nombre d’étoiles spécifique, allant d’un à cinq.
- Domaine du lien d’hameçonnage : laissez ce paramètre sur « Aléatoire ».
-
Page de destination : (facultatif)
- Choisissez la page de destination spécifique que vous souhaitez utiliser pour tous les modèles d’hameçonnage ou utilisez la page par défaut.
-
Ajouter les cliqueurs : vous pouvez sélectionner à cet endroit votre groupe Cliqueurs. Si vous créez un groupe intelligent pour l’automatisation des formations de remise à niveau, laissez ce champ vierge.
- Chaque fois qu’un utilisateur échouera à votre test d’hameçonnage, il sera ajouté au groupe sélectionné.
- Cochez la case « Envoyer un rapport par e-mail aux administrateurs de compte… » si vous souhaitez être notifié lorsque le test d’hameçonnage bimensuel est achevé.
Retour vers les détails du plan de sensibilisation élevée
Test mensuel supplémentaire facultatif utilisant un modèle d’événements actuels ou ciblé
Il se peut que nous ajoutions un nouveau modèle que vous aurez envie d’utiliser immédiatement pour tous vos utilisateurs ou que vous trouviez un concept de test d’hameçonnage original qui trompera même les personnes qui cliquent rarement. Vous pouvez configurer chaque mois un test ponctuel supplémentaire pour que vos tests d’hameçonnage restent uniques et pertinents.
Pour le plan de sensibilisation élevée, choisissez des modèles spécifiques à votre organisation ou à votre secteur pour ces tests afin qu’ils représentent un véritable défi pour vos utilisateurs et incitent chacun à rester sur ses gardes.
Lorsque vous n’utilisez qu’un seul modèle, il est préférable de décocher l’option « Envoyez les e-mails sur la durée de la campagne » afin que vos utilisateurs reçoivent en même temps l’e-mail d’hameçonnage simulé. Cela évitera que des utilisateurs ne soient avertis du test d’hameçonnage en cours par leurs collègues.
Retour vers les détails du plan de sensibilisation élevée
Effectuer un test d’hameçonnage mensuel pour les cliqueurs (facultatif)
Vos utilisateurs phish-prone peuvent avoir besoin de s’entraîner davantage pour acquérir les compétences nécessaires pour se défendre contre les attaques d’ingénierie sociale. Pour ce faire, vous pouvez configurer une campagne d’hameçonnage en continu ciblant votre groupe de Cliqueurs. Nous vous conseillons de configurer cette campagne de manière similaire à votre campagne d’hameçonnage bihebdomadaire totalement aléatoire, en sélectionnant de nombreuses catégories de modèles et en étalant l’envoi des e-mails sur toute la durée de la campagne. Vous pouvez également utiliser notre catégorie Hameçonnages signalés cette semaine, si ce n’est pas déjà le cas.
Retour vers les détails du plan de sensibilisation élevée
Envoyer le bulletin d’informations Conseils de sécurité ou Escroquerie de la semaine
Outre les modèles d’hameçonnage, nous proposons également des Conseils de sécurité intégrés, ainsi que la catégorie « Escroquerie de la semaine ». Les conseils de sécurité rappellent aux utilisateurs différentes méthodes générales pour assurer leur sécurité en ligne et au travail. Le bulletin Escroquerie de la semaine prépare vos utilisateurs pour qu’ils puissent se défendre face aux dernières escroqueries d’ingénierie sociale et attaques contre la cybersécurité.
Aperçu de la newsletter Conseils de sécurité
Aperçu de la newsletter Escroquerie de la semaine
Retour vers les détails du plan de sensibilisation élevée
Lancer une campagne de formation de remise à niveau pour les cliqueurs
Pour encourager la plupart des utilisateurs phish-prone à analyser plus attentivement les e-mails qu’ils reçoivent, vous pouvez programmer une campagne de formation de remise à niveau pour votre groupe Cliqueurs.
Pour ce faire, assurez-vous de sélectionner également l’option « Ajouter les cliqueurs à » votre groupe Cliqueurs lorsque vous configurez votre campagne d’hameçonnage récurrente bihebdomadaire.
Une fois la configuration de votre campagne d’hameçonnage terminée, configurez votre campagne de formation sur la sécurité pour les Cliqueurs.
Si vous êtes un client Platine ou Diamant, vous pouvez également configurer l’automatisation des formations de remise à niveau à l’aide de groupes intelligents à la place.
Créer une campagne de formation de remise à niveau
Retour vers les détails du plan de sensibilisation élevée
Programmer une formation supplémentaire sur la sécurité chaque trimestre
En plus de notre formation sur la sensibilisation à la sécurité KnowBe4, KnowBe4 propose un éventail de modules de formation afin de répondre aux besoins de formation sur la sécurité de votre organisation. Pour accéder à une liste de nos contenus de formation, avec une description et un aperçu, parcourez le ModStore accessible depuis votre compte KnowBe4.
Nous vous conseillons d’assigner tous les trimestres une formation à vos utilisateurs pour les inciter à faire de la sécurité une priorité. Le fait de suivre un cours chaque trimestre aidera vos utilisateurs à s’impliquer dans leur formation sur la sensibilisation à la sécurité tout en rafraîchissant leurs connaissances.
Si la structure de votre organisation s’y prête, vous devriez également cibler certains départements en leur envoyant un contenu spécifique personnalisé. Par exemple, vous pouvez inscrire les employés qui traitent des données sensibles concernant des cartes de crédit à notre cours « Basics of Credit Card Security» (principes de base de la sécurité des cartes de crédit). Appliquez des filtres au contenu du ModStore pour rechercher certains thèmes spécifiques sur lesquels vous souhaitez mettre l’accent ou utilisez le filtre Formation ciblée.
Nous vous recommandons de souscrire un abonnement Platine pour vous assurer de toujours bénéficier du contenu le plus récent et le plus performant. Si vous souhaitez discuter de la mise à niveau de votre compte, contactez votre gestionnaire de compte ou votre responsable de la réussite des clients. Ils sont là pour vous aider en cas de besoin.
Retour vers les détails du plan de sensibilisation élevée
Effectuer des tests supplémentaires sur la vulnérabilité chaque trimestre (réservé aux abonnés Platine ou Diamant)
En plus de vérifier la propension de vos utilisateurs à cliquer sur des liens d’hameçonnage, nous vous conseillons d’effectuer des tests de vulnérabilité supplémentaires tout au long de l’année. Vous trouverez ci-dessous des fonctionnalités réservées aux abonnés Platine que vous pouvez facilement configurer et gérer depuis votre console.
- Tests sur clé USB : pour savoir si vos utilisateurs seraient susceptibles de ramasser et de brancher des clés USB inconnues sur leur ordinateur, vous pouvez effectuer un test sur clé USB à l’aide de notre plateforme. Pour ce faire, vous devrez télécharger des fichiers spécialement conçus par nos soins sur des clés USB et les laisser à des endroits de vos locaux fréquentés par vos employés. Vous pourrez suivre les données sur les utilisateurs qui connectent les clés USB et tentent d’ouvrir les fichiers. Consultez : Présentation du test sur clé USB.
Retour vers les détails du plan de sensibilisation élevée
Suivre les progrès
Vous pouvez consulter les différentes options de rapport de votre console pour voir les progrès de votre organisation au fil du temps. L’analyse des différents rapports disponibles peut vous aider à définir des priorités pour vos prochains tests d’hameçonnage ou vos prochaines campagnes de formation en identifiant les « maillons faibles » de l’organisation, pouvant bénéficier d’une formation à la sécurité plus poussée.
Votre tableau de bord indique le score de risque, le pourcentage de Phish-prone et d’autres statistiques de votre organisation pour vous permettre d’évaluer en un coup d’œil les progrès de votre programme de sensibilisation à la sécurité. Vous pouvez cependant approfondir l’analyse pour identifier des tendances, découvrir quels utilisateurs doivent encore suivre leur formation, analyser quels groupes, sites ou départements sont les plus susceptibles de cliquer sur des liens d’hameçonnage ou voir quel modèle d’e-mail a suscité le plus de clics de la part de vos utilisateurs.
Voici quelques ressources sur les rapports que vous pouvez consulter :
- Guide sur les rapports - Recommandé
- Guide sur le Virtual Risk Officer et le score de risque - Recommandé
- Surveiller et examiner les rapports globaux sur l’hameçonnage
- Guide sur les rapports de formation
- Présentation du tableau de bord
Retour vers les détails du plan de sensibilisation élevée
Sensibilisation moyenne
Cliquez sur chaque étape pour plus de détails :
- Mobiliser vos parties prenantes
- Effectuer un test de référence à l’aveugle
- Commencer par hameçonner votre service informatique pour éviter de surcharger votre service d’assistance
- Communiquer avec vos employés
- Évaluer le niveau de sensibilisation à la sécurité de vos utilisateurs
- Inscrire les employés à la formation sur la sensibilisation à la sécurité
- Installer le Phish Alert Button
- Améliorer le plan de gestion de la réaction aux incidents par e-mail
- Créer votre groupe de cliqueurs
- Continuer l’hameçonnage de vos utilisateurs
- Déterminer la culture de la sécurité de votre organisation
- Envoyer le bulletin d’informations Conseils de sécurité ou Escroquerie de la semaine
- Lancer une campagne de formation de remise à niveau pour les cliqueurs
- Programmer une formation supplémentaire sur la sécurité tous les six mois
- Effectuer des tests supplémentaires sur la vulnérabilité tous les six mois
- Suivre les progrès
Mobiliser vos parties prenantes
Pour que votre organisation tire parti au mieux du programme qu’elle a choisi, il est essentiel d’obtenir l’adhésion des parties prenantes. Consultez l’article ci-dessous pour découvrir un exemple d’e-mail que vous pouvez modifier et envoyer aux parties prenantes internes de votre organisation.
Impliquer mes parties prenantes dans mon plan de formation sur la sensibilisation à la sécurité
Retour vers les détails du plan de sensibilisation moyenne
Effectuer un test de référence à l’aveugle
Avant de commencer la formation de vos utilisateurs sur la sensibilisation à la sécurité, nous vous recommandons vivement d’effectuer un test d’hameçonnage à l’aveugle de tous vos utilisateurs à titre de référence.
Appuyez-vous sur les instructions de l’article suivant pour comprendre comment configurer ce test.
Guide des bonnes pratiques : configurer un test de référence
Réfléchissez également au type de page de destination que vous utiliserez pour votre test de référence à l’aveugle. En utilisant des pages de destination, vous avez la possibilité d’influencer la réaction de vos utilisateurs au test d’hameçonnage. Consultez le lien ci-dessous pour découvrir quels sont les différents types de pages de destination et quelle peut être la réaction de vos utilisateurs lorsqu’ils y sont confrontés.
Bonnes pratiques : choisir une page de destination
Retour vers les détails du plan de sensibilisation moyenne
Commencer par hameçonner votre service informatique pour éviter de surcharger votre service d’assistance
Vous pouvez également envoyer deux tests d’hameçonnage de référence : un à votre service d’assistance/informatique dans un premier temps, puis un autre au reste de vos collaborateurs. Ainsi, lorsque ces derniers commenceront à signaler l’e-mail suspect, les membres de votre service d’assistance seront au courant de la situation et ils auront eu également l’opportunité de participer au test de référence. C’est également un très bon moyen de vérifier que vous avez bien mis nos serveurs de messagerie sur liste blanche et que tout le monde recevra votre test de référence dans sa boîte de réception.
Retour vers les détails du plan de sensibilisation moyenne
Communiquer avec vos employés
Une fois le test de référence effectué, les employés qui ont reçu l’e-mail d’hameçonnage simulé peuvent être perturbés. Ceux qui ont cliqué sur le lien d’hameçonnage peuvent s’inquiéter de possibles répercussions. Une fois votre campagne d’hameçonnage de référence terminée, nous vous conseillons d’expliquer qu’un test a été effectué en précisant pourquoi.
Vous pouvez profiter de cette occasion pour insister sur l’importance pour chacun de suivre une formation sur la sensibilisation à la sécurité. Le fait d’informer vos utilisateurs de la menace potentielle qui pèse sur l’organisation ou sur eux-mêmes peut accroître leur niveau de participation lorsqu’ils seront inscrits à la formation. Nous vous proposons un modèle à cet effet, disponible via le lien ci-dessous.
Modèle à utiliser après votre test d’hameçonnage de référence
Retour vers les détails du plan de sensibilisation moyenne
Évaluer le niveau de sensibilisation à la sécurité de vos utilisateurs
Avant d’inscrire vos utilisateurs à la formation sur la sensibilisation à la sécurité, il est important de connaître leur niveau de départ en sensibilisation à la sécurité pour pouvoir mesurer les progrès au fil du temps. Assignez à vos utilisateurs l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA) pour tester leurs connaissances dans les différents domaines de connaissance. Nous vous recommandons d’assigner l’évaluation SAPA après votre premier test d’hameçonnage, mais avant votre première campagne de formation. Assignez l’évaluation SAPA à vos utilisateurs tous les ans pour mesurer l’évolution de vos forces et de vos faiblesses.
Utilisez les liens ci-dessous pour découvrir comment ajouter des évaluations et en savoir plus sur l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA).
Guide relatif aux évaluations organisationnelles
Présentation de l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA)
Retour vers les détails du plan de sensibilisation moyenne
Inscrire les employés à la formation sur la sensibilisation à la sécurité
Une fois votre test de référence terminé, configurez la formation sur la sensibilisation à la sécurité pour tous vos utilisateurs. Vous devez cependant configurer au préalable votre Learner Experience et décider si vous souhaitez inclure l’apprentissage par le jeu dans votre programme de formation.
Nous vous recommandons vivement d’inscrire tous vos employés à notre formation sur la sensibilisation à la sécurité KnowBe4 de 45 minutes ou à un cours complet similaire pour votre première campagne de formation. Vous pouvez également ajouter des politiques aux campagnes de formation et exiger que vos utilisateurs acceptent ou prennent acte de ces politiques. Pour en savoir plus, consultez l’article Créer et gérer des politiques.
Pour aider les utilisateurs à commencer leur formation, nous nous conseillons de leur envoyer un lien vers une de nos vidéos de prise en main. Chaque vidéo comporte des instructions uniques basées sur vos paramètres de connexion et explique comment utiliser la Learner Experience. Utilisez les liens ci-dessous pour déterminer quelle vidéo correspond le mieux à votre organisation :
- Guide pour les utilisateurs avec les paramètres de connexion par défaut
- Guide pour les utilisateurs avec l’authentification unique activée
- Guide pour les utilisateurs avec la connexion sans mot de passe activée
Pour obtenir des recommandations sur la manière de configurer votre première campagne de formation sur la sensibilisation à la sécurité, consultez le lien ci-dessous.
Guide des bonnes pratiques : créer votre première campagne de formation
Retour vers les détails du plan de sensibilisation moyenne
Installer le Phish Alert Button
Le Phish Alert Button (PAB) est un outil gratuit que vous pouvez utiliser pour encourager vos utilisateurs à interagir suite à leur formation sur la sécurité. Le PAB est un module complémentaire pour votre client de messagerie (consultez notre matrice de compatibilité du PAB ici) qui permet à vos utilisateurs de signaler tout message susceptible d’être un e-mail d’hameçonnage. Le message signalé peut être un test d’hameçonnage simulé de KnowBe4 ou une éventuelle cyberattaque réelle.
Pour en savoir plus sur le PAB et sur les informations à communiquer à vos utilisateurs une fois qu’il a été installé, consultez le lien ci-dessous.
Bonnes pratiques : implémentation du Phish Alert Button (PAB)
Retour vers les détails du plan de sensibilisation moyenne
Améliorer le plan de gestion de la réaction aux incidents par e-mail
Si vous décidez d’utiliser le PAB, ou si vous demandez à vos utilisateurs de transférer les e-mails suspects ou potentiellement malveillants à un service ou à une adresse e-mail spécifique de votre organisation, vous aurez besoin d’un produit qui vous permette de gérer les e-mails ayant été transférés, de les analyser et de les traiter efficacement. PhishER est une plateforme qui peut être utilisée à cette fin.
En utilisant PhishER comme un contrôle de détection de la sécurité, votre organisation peut identifier les menaces potentielles et renforcer vos mesures de sécurité et votre plan de défense en profondeur. PhishER peut être utilisé de façon transparente avec le PAB pour gérer les e-mails d’hameçonnage signalés, mais vous pouvez également transférer les e-mails signalés à votre boîte de réception PhishER. Pour en savoir plus sur PhishER, consultez notre Manuel de produit PhishER.
Retour vers les détails du plan de sensibilisation moyenne
Créer votre groupe de cliqueurs
Cliquez sur Utilisateurs, puis sur l’onglet Groupes. Vous accéderez alors à l’option permettant de créer un groupe. Vous pouvez créer un groupe pour vos utilisateurs Phish-prone, les « cliqueurs ». Vous pourrez utiliser ce groupe dans de futures campagnes d’hameçonnage et mettre en place une formation de remise à niveau automatisée pour les utilisateurs qui continuent à échouer à vos tests d’hameçonnage. Les clients Platine et Diamant peuvent également créer un groupe intelligent qui rassemblera automatiquement les utilisateurs qui échouent aux tests d’hameçonnage.
Retour vers les détails du plan de sensibilisation moyenne
Continuer l’hameçonnage de vos utilisateurs
Test d’hameçonnage mensuel
Pour le plan de sensibilisation moyenne, nous vous recommandons de tester chaque mois tous vos utilisateurs. Les tests d’hameçonnage réguliers permettront à vos utilisateurs de mettre en pratique les compétences acquises lors de la formation sur la sensibilisation à la sécurité.
Vous trouverez ci-dessous les paramètres recommandés pour tirer pleinement profit de la variété des e-mails d’hameçonnage utilisés et échelonner l’envoi des e-mails sur la durée. Cette méthode est totalement aléatoire et permet d’éviter que des employés ne préviennent leurs collègues qu’un test d’hameçonnage est en cours.
-
Fréquence : mensuelle.
- Envoi : envoyez les e-mails sur une période de 5 à 10 jours ouvrables.
- De cette façon, l’e-mail n’arrivera pas au même moment pour tous les utilisateurs, ce qui permet d’éviter que des employés ne préviennent leurs collègues qu’un test d’hameçonnage est en cours.
- Surveiller l’activité : suivez les échecs au test d’hameçonnage pendant au moins trois jours.
- Surveiller les réponses : nous vous recommandons d’activer ce paramètre. Pour en savoir plus sur le suivi des réponses aux e-mails d’hameçonnage, consultez notre Manuel de produit sur le suivi des réponses aux e-mails d’hameçonnage.
-
Catégories : choisissez plusieurs catégories de modèles et sélectionnez l’option « Entièrement aléatoire » dans la liste déroulante des modèles pour choisir un modèle aléatoire pour chaque utilisateur.
- Excluez les langues non pertinentes, les catégories Conseils de sécurité et Escroquerie de la semaine.
-
Niveau de difficulté : (facultatif)
- Si vous le souhaitez, vous pouvez limiter à cet endroit le niveau de difficulté des modèles que vous avez sélectionnés à un nombre d’étoiles spécifique, allant d’un à cinq.
- Domaine du lien d’hameçonnage : laissez ce paramètre sur « Aléatoire ».
-
Page de destination : (facultatif)
- Choisissez la page de destination spécifique que vous souhaitez utiliser pour tous les modèles d’hameçonnage ou utilisez le paramètre par défaut.
-
Ajouter les cliqueurs : vous pouvez sélectionner à cet endroit le groupe Cliqueurs. Si vous créez un groupe intelligent pour l’automatisation des formations de remise à niveau, laissez ce champ vierge.
- Chaque fois qu’un utilisateur échouera à votre test d’hameçonnage, il sera ajouté au groupe sélectionné.
- Cochez la case « Envoyer un rapport par e-mail aux administrateurs de compte… » si vous souhaitez être notifié lorsque le test d’hameçonnage bimensuel est achevé.
Retour vers les détails du plan de sensibilisation moyenne
Test mensuel supplémentaire facultatif utilisant un modèle d’événements actuels ou ciblé
Il se peut que nous ajoutions un nouveau modèle que vous aurez envie d’utiliser immédiatement pour tous vos utilisateurs ou que vous trouviez un concept de test d’hameçonnage original qui trompera même les personnes qui cliquent rarement. Vous pouvez configurer chaque mois un test ponctuel supplémentaire pour que vos tests d’hameçonnage restent uniques et pertinents.
Pour le plan de sensibilisation moyenne, vous pouvez cibler vos employés en utilisant des modèles spécifiques à leur organisation ou à leur secteur d’activité pour ces tests ponctuels.
Si vous n’utilisez qu’un seul modèle, il est préférable de sélectionner l’option Envoyer tous les e-mails au démarrage de la campagne afin que vos utilisateurs reçoivent en même temps l’e-mail d’hameçonnage simulé. Cela évitera que des utilisateurs ne soient avertis du test d’hameçonnage en cours par leurs collègues.
Retour vers les détails du plan de sensibilisation moyenne
Déterminer la culture de la sécurité de votre organisation
Pour que votre formation sur la sensibilisation à la sécurité soit vraiment efficace, vous devez mettre en place une solide culture de la sécurité. La culture de la sécurité reflète les idées, les habitudes et les comportements sociaux qui ont une incidence sur la sécurité de votre organisation. Le sondage sur la culture de la sécurité décompose la culture de sécurité de votre organisation en sept dimensions différentes. Utilisez ce sondage pour déterminer quelles dimensions méritent d’être renforcées et comment évolue votre culture de la sécurité au fil du temps. Effectuez un sondage de vos utilisateurs une fois par an pour mesurer les progrès accomplis.
Utilisez les liens ci-dessous pour découvrir comment ajouter des évaluations et en savoir plus sur le sondage sur la culture de la sécurité (SCS).
Guide relatif aux évaluations organisationnelles
Présentation du sondage sur la culture de la sécurité (SCS)
Retour vers les détails du plan de sensibilisation moyenne
Envoyer le bulletin d’informations Conseils de sécurité ou Escroquerie de la semaine
Outre les modèles d’hameçonnage, nous proposons également des Conseils de sécurité intégrés, ainsi que la catégorie « Escroquerie de la semaine ». Les conseils de sécurité rappellent aux utilisateurs différentes méthodes générales pour assurer leur sécurité en ligne et au travail. Le bulletin Escroquerie de la semaine prépare vos utilisateurs pour qu’ils puissent se défendre face aux dernières escroqueries d’ingénierie sociale et attaques contre la cybersécurité.
Aperçu de la newsletter Conseils de sécurité
Aperçu de la newsletter Escroquerie de la semaine
Retour vers les détails du plan de sensibilisation moyenne
Lancer une campagne de formation de remise à niveau pour les cliqueurs
Pour encourager la plupart des utilisateurs phish-prone à analyser plus attentivement les e-mails qu’ils reçoivent, vous pouvez programmer une campagne de formation de remise à niveau pour votre groupe Cliqueurs.
Pour ce faire, assurez-vous de sélectionner également l’option « Ajouter les cliqueurs à » lorsque vous configurez votre campagne d’hameçonnage mensuelle récurrente.
Une fois la configuration de votre campagne d’hameçonnage terminée, configurez votre campagne de formation sur la sécurité pour les Cliqueurs.
Si vous êtes un client Platine ou Diamant, vous pouvez également configurer l’automatisation des formations de remise à niveau à l’aide de groupes intelligents à la place.
Utiliser des groupes intelligents pour la formation de remise à niveau
Retour vers les détails du plan de sensibilisation moyenne
Programmer une formation supplémentaire sur la sécurité tous les six mois
En plus de notre formation sur la sensibilisation à la sécurité KnowBe4, KnowBe4 propose un éventail de modules de formation afin de répondre aux besoins de formation sur la sécurité de votre organisation. Pour accéder à une liste de nos contenus de formation, avec une description et un aperçu, parcourez le ModStore accessible depuis votre compte KnowBe4.
Nous vous conseillons de créer une nouvelle campagne de formation tous les six mois afin que vos utilisateurs restent concentrés sur la sécurité. Le fait de suivre un cours aidera vos utilisateurs à s’impliquer dans leur formation sur la sensibilisation à la sécurité tout en rafraîchissant leurs connaissances.
Si la structure de votre organisation s’y prête, vous devriez également cibler certains départements en leur envoyant un contenu spécifique personnalisé. Par exemple, vous pouvez inscrire les employés qui traitent des données sensibles concernant des cartes de crédit à notre cours « Basics of Credit Card Security» (principes de base de la sécurité des cartes de crédit). Appliquez des filtres au contenu du ModStore pour rechercher certains thèmes spécifiques sur lesquels vous souhaitez mettre l’accent ou utilisez le filtre Formation ciblée.
Nous vous recommandons de souscrire un abonnement Platine pour vous assurer de toujours bénéficier du contenu le plus récent et le plus performant. Si vous souhaitez discuter de la mise à niveau de votre compte, contactez votre gestionnaire de compte ou votre responsable de la réussite des clients. Ils sont là pour vous aider en cas de besoin.
Retour vers les détails du plan de sensibilisation moyenne
Effectuer des tests supplémentaires sur la vulnérabilité tous les six mois (réservé aux abonnés Platine ou Diamant)
En plus de vérifier la propension de vos utilisateurs à cliquer sur des liens d’hameçonnage, nous vous conseillons d’effectuer des tests de vulnérabilité supplémentaires tout au long de l’année. Vous trouverez ci-dessous des fonctionnalités réservées aux abonnés Platine que vous pouvez facilement configurer et gérer depuis votre console.
- Tests sur clé USB : pour savoir si vos utilisateurs seraient susceptibles de ramasser et de brancher des clés USB inconnues sur leur ordinateur, vous pouvez effectuer un test sur clé USB à l’aide de notre plateforme. Pour ce faire, vous devrez télécharger des fichiers spécialement conçus par nos soins sur des clés USB et les laisser à des endroits de vos locaux fréquentés par vos employés. Vous pourrez suivre les données sur les utilisateurs qui connectent les clés USB et tentent d’ouvrir les fichiers. Consultez : Présentation du test sur clé USB.
Retour vers les détails du plan de sensibilisation moyenne
Suivre les progrès
Vous pouvez consulter les différentes options de rapport de votre console pour voir les progrès de votre organisation au fil du temps. L’analyse des différents rapports disponibles peut vous aider à définir des priorités pour vos prochains tests d’hameçonnage ou vos prochaines campagnes de formation en identifiant les « maillons faibles » de l’organisation, pouvant bénéficier d’une formation à la sécurité plus poussée.
Votre tableau de bord indique le score de risque, le pourcentage de Phish-prone et d’autres statistiques de votre organisation pour vous permettre d’évaluer en un coup d’œil les progrès de votre programme de sensibilisation à la sécurité. Vous pouvez cependant approfondir l’analyse pour identifier des tendances, découvrir quels utilisateurs doivent encore suivre leur formation, analyser quels groupes, sites ou départements sont les plus susceptibles de cliquer sur des liens d’hameçonnage ou voir quel modèle d’e-mail a suscité le plus de clics de la part de vos utilisateurs.
Voici quelques ressources sur les rapports que vous pouvez consulter :
- Guide sur les rapports - Recommandé
- Guide sur le Virtual Risk Officer et le score de risque - Recommandé
- Surveiller et examiner les rapports globaux sur l’hameçonnage
- Guide sur les rapports de formation
- Présentation du tableau de bord
Retour vers les détails du plan de sensibilisation moyenne
Sensibilisation faible
Cliquez sur chaque étape pour plus de détails :
- Mobiliser vos parties prenantes
- Effectuer un test de référence à l’aveugle
- Commencer par hameçonner votre service informatique pour éviter de surcharger votre service d’assistance
- Communiquer avec vos employés
- Évaluer le niveau de sensibilisation à la sécurité de vos utilisateurs
- Inscrire les employés à la formation sur la sensibilisation à la sécurité
Mobiliser vos parties prenantes
Pour que votre organisation tire parti au mieux du programme qu’elle a choisi, il est essentiel d’obtenir l’adhésion des parties prenantes. Consultez l’article ci-dessous pour découvrir un exemple d’e-mail que vous pouvez modifier et envoyer aux parties prenantes internes de votre organisation.
Impliquer mes parties prenantes dans mon plan de formation sur la sensibilisation à la sécurité
Retour vers les détails du plan de sensibilisation faible
Effectuer un test de référence à l’aveugle
Avant de commencer la formation de vos utilisateurs sur la sensibilisation à la sécurité, nous vous recommandons vivement d’effectuer un test d’hameçonnage à l’aveugle de tous vos utilisateurs à titre de référence.
Appuyez-vous sur les instructions de l’article suivant pour comprendre comment configurer ce test.
Guide des bonnes pratiques : configurer un test de référence
Réfléchissez également au type de page de destination que vous utiliserez pour votre test de référence à l’aveugle. En utilisant des pages de destination, vous avez la possibilité d’influencer la réaction de vos utilisateurs au test d’hameçonnage. Consultez le lien ci-dessous pour découvrir quels sont les différents types de pages de destination et quelle peut être la réaction de vos utilisateurs lorsqu’ils y sont confrontés.
Bonnes pratiques : choisir une page de destination
Retour vers les détails du plan de sensibilisation faible
Commencer par hameçonner votre service informatique pour éviter de surcharger votre service d’assistance
Vous pouvez également envoyer deux tests d’hameçonnage de référence : un à votre service d’assistance/informatique dans un premier temps, puis un autre au reste de vos collaborateurs. Ainsi, lorsque ces derniers commenceront à signaler l’e-mail suspect, les membres de votre service d’assistance seront au courant de la situation et ils auront eu également l’opportunité de participer au test de référence. C’est également un très bon moyen de vérifier que vous avez bien mis nos serveurs de messagerie sur liste blanche et que tout le monde recevra votre test de référence dans sa boîte de réception.
Retour vers les détails du plan de sensibilisation faible
Communiquer avec vos employés
Une fois le test de référence effectué, les employés qui ont reçu l’e-mail d’hameçonnage simulé peuvent être perturbés. Ceux qui ont cliqué sur le lien d’hameçonnage peuvent s’inquiéter de possibles répercussions. Une fois votre campagne d’hameçonnage de référence terminée, nous vous conseillons d’expliquer qu’un test a été effectué en précisant pourquoi.
Vous pouvez profiter de cette occasion pour insister sur l’importance pour chacun de suivre une formation sur la sensibilisation à la sécurité. Le fait d’informer vos utilisateurs de la menace potentielle qui pèse sur l’organisation ou sur eux-mêmes peut accroître leur niveau de participation lorsqu’ils seront inscrits à la formation. Nous vous proposons un modèle à cet effet, disponible via le lien ci-dessous.
Modèle à utiliser après votre test d’hameçonnage de référence
Retour vers les détails du plan de sensibilisation faible
Évaluer le niveau de sensibilisation à la sécurité de vos utilisateurs
Avant d’inscrire vos utilisateurs à la formation sur la sensibilisation à la sécurité, il est important de connaître leur niveau de départ en sensibilisation à la sécurité pour pouvoir mesurer les progrès au fil du temps. Assignez à vos utilisateurs l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA) pour tester leurs connaissances dans les différents domaines de connaissance. Nous vous recommandons d’assigner l’évaluation SAPA après votre premier test d’hameçonnage, mais avant votre première campagne de formation. Assignez l’évaluation SAPA à vos utilisateurs tous les ans pour mesurer l’évolution de vos forces et de vos faiblesses.
Utilisez les liens ci-dessous pour découvrir comment ajouter des évaluations et en savoir plus sur l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA).
Guide relatif aux évaluations organisationnelles
Présentation de l’évaluation des connaissances sur la sensibilisation à la cybersécurité (SAPA)
Retour vers les détails du plan de sensibilisation faible
Inscrire les employés à la formation sur la sensibilisation à la sécurité
Une fois votre test de référence terminé, configurez la formation sur la sensibilisation à la sécurité pour tous vos utilisateurs. Vous devez cependant configurer au préalable votre Learner Experience et décider si vous souhaitez inclure l’apprentissage par le jeu dans votre programme de formation.
Nous vous recommandons vivement d’inscrire tous vos employés à notre formation sur la sensibilisation à la sécurité KnowBe4 de 45 minutes ou à un cours complet similaire pour votre première campagne de formation. Vous pouvez également ajouter des politiques aux campagnes de formation et exiger que vos utilisateurs acceptent ou prennent acte de ces politiques. Pour en savoir plus, consultez l’article Créer et gérer des politiques.
Pour aider les utilisateurs à commencer leur formation, nous nous conseillons de leur envoyer un lien vers une de nos vidéos de prise en main. Chaque vidéo comporte des instructions uniques basées sur vos paramètres de connexion et explique comment utiliser la Learner Experience. Utilisez les liens ci-dessous pour déterminer quelle vidéo correspond le mieux à votre organisation :