FAQ et résolution des problèmes

Partager

Cet article est-il utile ?

Dernière mise à jour :

Identifier et traiter les faux positifs

Si vous constatez des résultats inhabituels dans une campagne d’hameçonnage, vous êtes peut-être confronté à des faux clics. Lorsque vous consultez les résultats de votre campagne, un taux de clic de 100 % ou la présence d’adresses IP externes à votre organisation peuvent correspondre à des faux positifs. Vous trouverez ci-dessous quelques-unes des causes courantes de faux positifs, ainsi que des conseils pour les gérer.

Qu’est-ce qu’un clic ?

Les clics correspondent à ce que nous suivons lorsqu’un utilisateur clique sur un lien d’hameçonnage dans un e-mail simulé. Il existe toutefois d’autres manières d’enregistrer un clic. Nous appelons « faux positifs » les clics qui ne résultent pas d’un clic volontaire de l’utilisateur sur un lien d’hameçonnage. Vous trouverez ci-dessous la liste des raisons courantes pour lesquelles des faux positifs sont enregistrés :

  • Une inscription sur liste blanche incorrecte de votre filtre de courrier indésirable. Une inscription sur liste blanche incorrecte peut provoquer des clics automatisés ou des clics de bots. Pour savoir comment déterminer si un clic est dû à un bot, consultez la section Comment identifier les clics de bot ci-dessous.
  • Une autre inscription sur liste blanche peut être nécessaire. Une inscription supplémentaire sur liste blanche de votre filtre de courrier indésirable peut être requise pour exclure les e-mails d’hameçonnage simulés de l’analyse et du sondage des liens.
  • Absence d’inscription sur liste blanche des extensions de sécurité complémentaires de vos filtres de courrier.
  • Un logiciel antivirus ou de sécurité des terminaux.
  • Les fonctions de prévisualisation des liens intégrées aux systèmes d’exploitation mobiles.
  • Un logiciel de sécurité intégré à une solution de gestion des appareils mobiles (MDM).
  • Des e-mails d’hameçonnage transférés à d’autres utilisateurs. Cette action peut être comptabilisée comme un clic, soit parce que l’e-mail transféré a été analysé en bac à sable par le serveur de messagerie, soit parce que le destinataire final a cliqué sur le lien.

Comment identifier les clics de bot

Des situations d’inscription sur liste blanche incorrecte ou insuffisante peuvent entraîner des clics de bot. Ces clics sont générés par un processus automatisé interne à votre infrastructure. Vous pouvez repérer un clic de bot en analysant les résultats de votre campagne d’hameçonnage. Vous trouverez ci-dessous les différents moyens d’identifier les clics de bot :

  • Les horodatages indiqués dans les colonnes Transmis, Ouvert et Clic sont tous identiques ou espacés de moins d’une minute.
  • L’onglet Cliqué signale l’utilisation d’un navigateur ou d’une version de navigateur non répertoriés ou obsolètes dans votre infrastructure.
  • Le système d’exploitation répertorié ne correspond à aucun système accessible par vos utilisateurs dans votre infrastructure.
  • L’adresse IP appartient au fournisseur d’un de vos produits de sécurité.

Adresses IP inattendues dans les résultats de campagne

Lorsqu’un clic est enregistré dans la console, l’adresse IP d’où provient le clic est également enregistrée. Vous trouverez ci-dessous des exemples de raisons pour lesquelles des adresses IP inattendues peuvent s’afficher :

  • Si un utilisateur clique sur le lien depuis son appareil mobile, le clic peut apparaître comme provenant de son fournisseur de services mobiles.
  • Si un utilisateur est connecté au Wi-Fi de son domicile, le clic sera enregistré comme provenant d’une adresse IP de son fournisseur d’accès à Internet (FAI).
  • Si un utilisateur est connecté à un Wi-Fi public, le clic sera enregistré comme provenant du lieu où se trouvait l’utilisateur au moment du clic.
  • Si un de vos produits utilise un fournisseur de services hébergés, comme AWS, l’adresse IP peut correspondre à une autre localisation, voire à un autre pays. Certains processus d’analyse de liens peuvent ne pas être effectués côté client. Le lien peut alors être transmis au centre de traitement ou d’analyse principal du fournisseur de sécurité.
  • Si l’URL est transmise à VirusTotal, l’adresse IP peut provenir d’une autre localisation. Ce lien peut être envoyé automatiquement par un produit que vous utilisez ou par votre utilisateur. Lorsqu’une URL est soumise à VirusTotal, le service l’analyse pour déterminer s’il convient de l’ajouter à ses définitions de menaces en tant qu’URL malveillante. L’analyse des liens peut être instantanée ou s’étaler sur plusieurs heures. Ces adresses IP peuvent être attribuées à un fournisseur de sécurité ou à un fournisseur d’accès à Internet.

Causes courantes des faux positifs

Les faux positifs générés lors des simulations d’hameçonnage découlent habituellement de trois causes majeures :

  • Interférences avec un scanner de liens : il s’agit des outils de sécurité qui filtrent automatiquement les liens avant que les e-mails ne parviennent aux utilisateurs
  • Inscription sur liste blanche inappropriée : les domaines de KnowBe4 ne sont pas exclus des analyses de sécurité
  • Mauvaise configuration des politiques de sécurité : les filtres de courrier indésirable ou les règles de flux de messagerie entrent en conflit avec la distribution des tests d’hameçonnage

Pour limiter les faux positifs, configurez vos filtres de courrier indésirable de façon à exclure les e-mails d’hameçonnage de KnowBe4 de l’analyse et du sondage des liens. Vérifiez que les hébergements intelligents et les politiques de livraison avancées sont adaptés aux configurations de votre campagne. Lorsque vous examinez les problèmes liés au scanner de liens, passez en revue vos paramètres d’inscription sur liste blanche avec les administrateurs informatiques afin de trouver un juste équilibre entre les exigences de sécurité et la précision des statistiques de formation.

Comment éviter les faux positifs

La connaissance de votre infrastructure est l’étape la plus importante pour prévenir les faux positifs. Comme il existe de nombreux produits de sécurité, nous vous conseillons de vérifier dans la documentation de vos logiciels ou prestataires de services s’il est possible d’exempter des liens ou domaines spécifiques du scan, de l’analyse ou du sondage des liens.

Vous pouvez également effectuer des campagnes de test avec quelques modèles différents sur des machines ayant la même configuration que les postes de travail de vos utilisateurs. Ces campagnes vous permettront de vérifier si votre configuration actuelle peut générer des faux positifs.

Assurez-vous que vos utilisateurs signalent les e-mails uniquement à l’aide du Phish Alert Button et non du bouton d’hameçonnage du serveur de messagerie ou de toute autre fonctionnalité de signalement tierce.

Vérifiez si vos produits de sécurité proposent de configurer une liste blanche supplémentaire. Si c’est le cas, inscrivez sur liste blanche les domaines de nos liens d’hameçonnage et ceux de nos pages de destination. Cette mesure supplémentaire peut contribuer à éviter les faux positifs. Pour consulter la liste de nos domaines d’hameçonnage racines, accédez à l’onglet Hameçonnage de votre console KnowBe4 et sélectionnez le sous-onglet Domaines. Pour en savoir plus sur le sous-onglet Domaines, consultez notre article Gérer les domaines des liens d’hameçonnage.

Si les problèmes de faux positifs persistent, contactez notre équipe d’assistance équipe d’assistance.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 9 sur 13

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance