Pourquoi je réalise un test ?

Cette question est primordiale avant de débuter toutes campagnes de sensibilisation. Chaque entreprise a sa propre approche de la sécurité de l’information et chacune doit mettre en place les mesures adéquates selon son appétence au risque.

La mise en place d’un test de phishing peut être un point de départ pour certaines ou un exercice de routine pour d’autres.

Voici des situations dans lesquelles un test de phishing arrive au bon moment :

• La société a déjà été victime d’une attaque de ce type, et je souhaite tester de nouveaux mes collaborateurs.
• Je souhaite réaliser un état des lieux du niveau de sensibilisation de mes collaborateurs.
• Je souhaire réaliser un test a postériori afin de mesurer l’efficacité des formations dispensées.

Chaque entreprise doit donc se positionner et définir l’objectif qu’elle souhaite atteindre.

Qui dois-je cibler ?

Deuxième étape, définir les cibles de ma campagne de phishing. Celle-ci doit être définit en amont et cohérente avec vos objectifs. Par exemple, votre société a été victime d’escroquerie via du phishing, quel est le service qui a été impacté ? Dois-je les tests pour vérifier leur niveau de sensibilisation ?

Trois approches peuvent être mise en place concernant les cibles :

• Choisir un domaine d’activité spécifique (RH, Comptabilité, service Informatique…) auquel cas vous devrez choisir une email en lien avec l’activité. Par exemple, je cible les Ressources Humaines, j’envoi un faux emails de candidatures avec un Hyperliens pour télécharger le CV.
• Choisir de manière aléatoire des collaborateurs auquel cas vous devrez choisir un email de type « générique » (Invitation Linkedin, alerte de sécurité, boite mail pleine…).
• Choisir de manière ciblé votre victime (haut responsable, expert sécurité, directeur…) auquel cas vosu devrez choisir un email en lien avec l’activité et les attraits de votre cibles. Un minimum de « Social Engineering » vous sera alors nécessaire pour augmenter vos chances de réussite.

Vous pouvez alterner ces approches suivant les actualités et vos besoins en terme de sensibilisation.

Quand dois-je l’envoyer ?

Cette dernière étape doit vous permettre de maximiser les chances de réussite, ou d’échec selon le point de vue.

Il s’agit ici de choisir un jour et un créneau horaire où les collaborateurs sont susceptibles d’être le plus vulnérables. En s’appuyant sur certains biais cognitifs, vous pourrez leurrer plus facilement vos cibles.

• Choisir un jour et une heure qui correspond à des pics d’activités (par exemple le lundi matin) afin d’être moins facilement détecté car noyé dans la masse.
• Utiliser les temps de pause ou de fin de journée pour « stresser » un collaborateur à répondre à faux email dont le caractère est Urgent ! (par exemple, un rappel d’impayé avant le weekend).
• Un autre « timing » intéressant est le weekend. Ceci permet de tester vos cibles en itinérance ou connecté constamment sur leurs messageries. 

Chaque campagne doit être adapté aux cibles choisies précédemment. Si un jour n’as pas fonctionné, rien ne vous empêche quelques mois plus tard de tester la même campagne et les mêmes cibles en changeant le jour d’envoi.