Cet article présente les paramètres de Contourner les faux positifs d’hameçonnage disponibles dans la section Hameçonnage des Paramètres du compte de votre console KSAT. Si vous constatez des résultats inhabituels dans une campagne d’hameçonnage, vous êtes peut-être confronté à des faux clics. Lorsque vous consultez les résultats de votre campagne, un taux de clic de 100 % ou la présence d’adresses IP externes à votre organisation peuvent correspondre à des faux positifs. Les paramètres de l’option Contourner les faux positifs d’hameçonnage permettent de réduire l’incidence des faux positifs afin d’obtenir des résultats plus précis pour vos campagnes d’hameçonnage. Pour en savoir plus sur les clics de bots, consultez la section Comment identifier les clics de bot de l’article Identifier et traiter les faux positifs.

Les faux positifs des simulations d’hameçonnage sont souvent dus à des méthodes d’inscription sur liste blanche inadaptées, à des interférences avec les outils d’analyse de liens ou à des politiques de sécurité mal configurées. Afin de limiter ces incidents, assurez-vous que vos filtres de courrier indésirable sont paramétrés pour ne pas analyser ou tester les liens contenus dans les e-mails d’hameçonnage de KnowBe4.

Vérifiez que les hébergements intelligents et les politiques de livraison avancées sont adaptés aux paramètres de votre campagne. Lorsque vous enquêtez sur les faux positifs déclenchés par l’analyse des liens, examinez vos configurations d’inscription sur liste blanche et demandez à vos administrateurs informatiques de confirmer que les paramètres de sécurité sont conformes aux normes de votre organisation tout en permettant de limiter l’occurrence de faux positifs.

Activation des paramètres de Contourner les faux positifs d’hameçonnage

Nous appelons « faux positif » les échecs aux simulations d’hameçonnage qui ne résultent pas d’un clic volontaire de l’utilisateur sur un lien d’hameçonnage. S’ils ne sont pas résolus, les faux positifs peuvent fausser les résultats des campagnes d’hameçonnage figurant dans vos Rapports des tests de sécurité relatifs à l’hameçonnage.

La fonctionnalité Contourner les faux positifs d’hameçonnage détecte toute consultation d’un lien caché figurant dans les tests de sécurité relatifs à l’hameçonnage (PST) envoyés. Les échecs d’hameçonnage enregistrés après tout accès à ce lien caché sont identifiés et ignorés s’ils se produisent au cours de la Durée pendant laquelle ignorer les échecs associés à un bot. Vous pouvez par ailleurs comparer les adresses IP des échecs dus à des bots à celles des véritables échecs aux tests d’hameçonnage en configurant le paramètre Correspondance de l’adresse IP pour les échecs ignorés associés à un bot.

Pour activer et personnaliser les paramètres de l’option Contourner les faux positifs d’hameçonnage, accédez à la section Hameçonnage des Paramètres du Compte. Consultez les captures d’écran et la liste ci-dessous pour en savoir plus sur les paramètres de cette section :

1. Ignorer les échecs d’hameçonnage associés à un bot : sélectionnez cette case pour ignorer les échecs d’hameçonnage associés à un bot qui se produisent peu de temps après l’accès à un lien caché. Lorsque ce paramètre est activé, les options Durée pendant laquelle ignorer les échecs associés à un bot et Correspondance de l’adresse IP pour les échecs ignorés associés à un bot sont affichées.

   

2. Durée pendant laquelle ignorer les échecs associés à un bot : indiquez à cet endroit le laps de temps pendant lequel ignorer les échecs d’hameçonnage associés à des bots après l’accès à un lien caché. Les options disponibles sont Conservateur (5 sec), Équilibré (10 sec) et Inclusif (30 sec).
3. Correspondance de l’adresse IP pour les échecs ignorés associés à un bot : vous pouvez définir des critères de correspondance pour ignorer les clics de bots en comparant l’adresse IP ayant accédé au lien caché avec celle des échecs d’hameçonnage suspects. Les options disponibles sont Pas de correspondance, Deux premiers octets et Correspondance exacte. L’option Deux premiers octets établira une correspondance entre les adresses IP en se fondant sur leur identifiant réseau de classe B. Prenons par exemple l’adresse IP 54.70.53.60 : l’outil recherchera les adresses dans le sous-réseau 54.70.0.0/16.

   

Comment consulter les informations détaillées sur les échecs d’hameçonnage ignorés associés à des bots

Une fois activé le paramètre Ignorer les échecs d’hameçonnage associés à un bot, vous pouvez consulter les échecs aux tests d’hameçonnage ignorés depuis la page Utilisateurs > Échecs ignorés de vos campagnes d’hameçonnage.

Consultez la capture d’écran et la liste ci-dessous pour comprendre à quoi correspondent les données de cette section :

1. Nom et e-mail : cette colonne affiche le nom et l’adresse e-mail de l’échec ignoré associé à un bot.
2. Date et heure : indique la date et l’heure auxquelles l’échec ignoré associé à un bot s’est produit.
3. Intervalle entre deux événements liés à un bot : cette colonne indique, en secondes, la durée pendant laquelle les échecs d’hameçonnage associés à des bots ont été ignorés après l’accès au lien caché.
4. Type d’échec ignoré : cette colonne indique le type d’échec ignoré associé à un bot. Dans l’illustration proposée, il s’agit de « Cliqué ».
5. Adresse IP : cette colonne indique l’adresse IP de l’échec ignoré associé à un bot.
6. Navigateur : cette colonne indique le navigateur utilisé pour l’échec ignoré associé à un bot, par exemple : Chrome.
7. Version du navigateur : cette colonne indique la version du navigateur utilisé pour l’échec ignoré associé à un bot.
8. Système d’exploitation : cette colonne indique le système d’exploitation utilisé pour l’échec ignoré associé à un bot, par exemple : Mac.
9. Événements liés à un bot : cette colonne indique le nombre d’échecs ignorés pour cet utilisateur. Notez que ce compteur s’arrête à 5 et que les événements supplémentaires générés par le bot n’entraîneront aucune mise à jour du reste des données de cette ligne. Dans un tel cas, la mention « 5+ » s’affichera dans la colonne Événements liés à un bot.
10. Convertir en échec de campagne (icône de corbeille) : lorsque vous sélectionnez cette icône, la console convertit les échecs ignorés dus à des bots en échecs à la campagne d’hameçonnage. Vous trouverez ci-dessous des explications détaillées sur le fonctionnement de cet outil.
11. Aperçu (icône en forme d’enveloppe) : lorsque vous sélectionnez cette icône, un aperçu de l’e-mail de la campagne d’hameçonnage s’affiche.

Comment convertir les échecs ignorés en véritables échecs

Vous pouvez convertir les échecs ignorés de bot en véritables échecs de la campagne d’hameçonnage si vous pensez qu’il s’agit d’un faux négatif. Si vous pensez qu’un utilisateur a échoué à un test d’hameçonnage et que la console affiche un événement d’échec ignoré au lieu d’un échec d’hameçonnage, vous pouvez convertir cet échec ignoré dû à un bot en échec de la campagne d'hameçonnage.

Procédez comme suit pour effectuer cette conversion :

1. Dans votre console KSAT, accédez à Hameçonnage > Campagnes, puis sélectionnez votre campagne d’hameçonnage.
2. Accédez à Utilisateurs.
3. À droite de la section Utilisateurs, cliquez sur Échecs ignorés.
4. Quand vous repérez un échec ignoré que vous souhaitez convertir en véritable échec d’hameçonnage, cliquez sur l’icône en forme de corbeille sur le côté droit de l’écran.

   

5. Vous serez invité à confirmer que vous souhaitez convertir l’événement associé au bot en échec de campagne, car cette action est irréversible.

   

6. Cliquez sur le bouton Confirmer.
7. Un échec ignoré peut être converti en échec d’hameçonnage une fois seulement. L’icône en forme de corbeille sera grisée lorsque l’échec ignoré aura été converti en échec d’hameçonnage.

   

8. Le Type d’échec ignoré sera visible une fois la conversion en échec d’hameçonnage effectuée. Par exemple, dans la capture d’écran ci-dessous, le Type d’échec ignoré correspond à Cliqué.