Aller au contenu principal

L’un des aspects les plus importants du passage d’une formation hors ligne à faire soi-même à une plateforme en ligne automatisée est votre capacité à mesurer les résultats et l’incidence de votre programme de sensibilisation et des tests d’hameçonnage.

Les tests d’hameçonnage ne font pas exception, et derrière eux se cachent une foule de points de données intéressants. Vous pouvez assurer le suivi d’informations telles que les destinataires, la fréquence des clics, la difficulté du test et même le type de contenu du courriel.

Toutes ces données sont soudainement au bout de vos doigts lorsque vous passez à un programme de test d’hameçonnage périodique pris en charge par une plateforme automatisée, mais toutes ces données peuvent sembler intimidantes. Par où commencer?

Dans cet article, nous allons expliquer les indicateurs fondamentaux liés aux tests d’hameçonnage et montrer comment vous pouvez les examiner de différentes manières pour comprendre les risques auxquels votre organisation est confrontée. Nous parlerons également de la façon dont vous pouvez transformer ces histoires de données en mesures concrètes pour améliorer votre programme de sensibilisation à la cybersécurité.

Trois principaux indicateurs des tests d’hameçonnage

Lorsqu’il s’agit de mesurer une campagne d’hameçonnage en particulier, trois indicateurs sont les plus importants : le taux d’ouverture, le taux de clic et le taux de signalement. Ceux-ci racontent l’histoire de l’efficacité de votre modèle d’hameçonnage dans votre groupe de test avec haute précision : a-t-il réussi à convaincre les membres de votre personnel de cliquer ou ont-ils évité de mordre à l’hameçon et l’ont-ils signalé à votre équipe des TI?

Décrivons ce que sont ces indicateurs et ce qu’ils vous disent.

Taux d’ouverture

Le taux d’ouverture correspond au pourcentage de destinataires qui ont réellement ouvert votre courriel de test d’hameçonnage.

Un détail technique à noter sur les taux d’ouverture des courriels : une ouverture est mesurée lorsque votre utilisateur ouvre un courriel et télécharge les images. En effet, les courriels sont suivis à l’aide de pixels espions, qui sont des pixels 1 par 1 contenant un code de suivi unique. Cela signifie que les taux d’ouverture ne sont pas précis à 100 % (tous les employés ne téléchargeront pas les images des courriels), mais il est toujours important de surveiller les tendances au fil du temps.

L’histoire que cet indicateur vous raconte est de savoir si le courriel tel qu’il apparaît dans la boîte de réception était suffisamment captivant ou attrayant pour que quelqu’un l’ouvre afin d’en savoir plus.

Ce qui est intéressant à propos du taux d’ouverture, c’est qu’il n’est pas influencé par le contenu du courriel, mais plutôt créé par les informations qui sont vues exclusivement dans la boîte de réception. Cela inclut la ligne d’objet, le nom et l’adresse courriel de l’expéditeur, un aperçu du texte et tout autre facteur précédant le courriel comme un module d’extension qui indique si un courriel provient de l’extérieur ou non.

Par exemple, vous pouvez utiliser le même modèle d’hameçonnage et le faire envoyer à partir de deux sources différentes : l’une étant un nom et une adresse courriel externes génériques et l’autre étant envoyé à l’aide du nom et de l’adresse courriel de votre PDG. Quel que soit le contenu du courriel, ce dernier est plus susceptible d’être ouvert, car le nom et l’adresse courriel de l’expéditeur sont plus fiables.

Taux de clic

Le taux de clic correspond au pourcentage de destinataires qui ont cliqué sur le lien d’hameçonnage dans le courriel.

Il s’agit de l’indicateur le plus courant et celui que la plupart des équipes offrant une formation examinent lors de la mesure du rendement. C’est compréhensible : cet indicateur est le moyen le plus direct de voir quel nombre de vos employés fait la mauvaise chose (c’est-à-dire, tomber dans le panneau).

Le taux de clic est réellement influencé par le contenu du courriel lui-même, reposant sur le contexte des facteurs précédant le courriel dont nous avons parlé lors de l’explication du taux d’ouverture.

Il existe de nombreuses expériences que vous pouvez mener pour voir ce qui influence les clics sur les courriels au sein de votre organisation : la personnalisation (comme utiliser le nom de quelqu’un dans une introduction), les objets de clic étant des boutons au lieu de liens, la quantité de fautes de frappe et les émotions (comme la peur ou l’anxiété) que vous suscitez avec le type d’écriture, pour n’en nommer que quelques-uns.

Tous les courriels d’hameçonnage ne sont pas conçus pour amener leur destinataire à cliquer sur un lien dans un courriel. En fonction du type de campagne d’hameçonnage que vous mettez en œuvre, vous pouvez disposer d’indicateurs supplémentaires ou différents, mais ils rempliront probablement la même fonction que le « taux de clic » pour les tests d’hameçonnage par courriel.

Voici quelques exemples :

  • Les téléchargements de pièces jointes aux courriels
  • Les réponses par courriels (avec des renseignements importants tels que les données d’accès)
  • Les réponses par téléphone
  • Les réponses par message texte
  • Les installations ou téléchargements USB

Taux de signalement

Le taux de signalement correspond au pourcentage de destinataires qui ont signalé le courriel d’hameçonnage à leur équipe des TI ou à leur service d’assistance, généralement à l’aide d’un bouton visant à signaler l’hameçonnage placé dans leur client de messagerie.

En ce qui concerne les tests d’hameçonnage, il s’agit de l’indicateur indépendant le plus important, encore plus que le taux de clic.

Pourquoi sommes-nous de cet avis? Imaginez cet exemple : une attaque d’hameçonnage touche cinq de vos employés et chaque employé voit ce courriel à une heure d’intervalle (le premier employé voit le courriel à 9 h, le suivant à 10 h, etc.). Supposons que le premier employé reconnaît que le courriel est une tentative d’hameçonnage à 9 h. Cela peut se jouer de deux manières.

Dans une organisation avec un faible taux de signalement, le premier employé reconnaît le courriel comme malveillant, mais le supprime immédiatement. Bien que cela soit bon pour lui en tant qu’individu, cette action met les quatre autres employés en danger plus tard dans la journée.

Dans une organisation avec un taux de signalement élevé, le premier employé reconnaît le courriel comme malveillant, mais en informe son équipe des TI. L’équipe des TI a maintenant une heure pour intervenir avant que le prochain employé ne voie le courriel (par l’entremise d’une communication ou en bloquant le domaine du lien malveillant à l’aide, par exemple, d’un DNS Firewall.) Cette action profite à la fois à l’individu et à l’organisation dans son ensemble.

Un taux élevé de signalement est ce qui rend le service des TI et l’organisation proactifs plutôt que réactifs. C’est ce que représente une culture de cybersécurité saine, et c’est l’objectif principal d’un programme de formation sur la sensibilisation à la cybersécurité

Passer des indicateurs de tests d’hameçonnage aux indicateurs de programmes d’hameçonnage

Bien que la compréhension des indicateurs ci-dessus soit fondamentale, ceux-ci ne vous aident pas à eux seuls à comprendre le succès ou l’incidence de votre programme d’hameçonnage dans son ensemble. Ils sont utiles pour expliquer comment vos utilisateurs interagissent avec un seul test ou modèle, mais pour mesurer votre programme dans son ensemble, vous devez examiner comment ces indicateurs varient dans différentes circonstances.

Dans la section suivante, nous allons expliquer comment vous pouvez examiner vos taux de test d’hameçonnage de différentes manières pour comprendre les risques au sein de votre organisation et de quelles façons vous sensibilisez à ces risques grâce à votre programme.

Indicateurs individuels et collectifs

Si votre plateforme d’hameçonnage vous permet de synchroniser les utilisateurs par service, vous obtiendrez des indicateurs d’hameçonnage au niveau des individus, des services et de l’organisation.

Les indicateurs au niveau de l’organisation sont la base de référence pour tous vos utilisateurs. Si vous envoyez des tests d’hameçonnage tous les mois à tous vos employés, ce sont les indicateurs qui vous indiqueront le risque global de votre organisation.

Les indicateurs au niveau des services sont les mêmes, sauf pour un service particulier. Ces indicateurs sont intéressants, car vous pouvez comparer différents services ou groupes les uns par rapport aux autres pour voir lesquels sont plus ou moins à risque. Par exemple, votre équipe des finances peut avoir un taux de clic plus élevé que votre équipe de vente ou votre bureau de Toronto peut avoir un meilleur taux de signalement que votre bureau de Vancouver. Vous pouvez comparer ces indicateurs collectifs à la moyenne de l’organisation pour voir quels domaines méritent une formation et des tests plus ciblés de votre part.

Les indicateurs au niveau des individus indiquent quels employés en particulier présentent un risque plus élevé ou plus faible par rapport à leur service et à l’organisation dans son ensemble. Un bon exercice de formation consiste à tenir une liste de vos récidivistes qui cliquent sur des tests d’hameçonnage et à les placer dans leur propre panier de formation, votre objectif étant de réduire le nombre d’employés dans ce panier au fil du temps.

Nous devons souligner que ce n’est pas parce que vous disposez de statistiques pour chaque personne que vous devez utiliser ces données pour montrer du doigt et blâmer publiquement les employés. Il s’agit malheureusement d’une pratique courante, mais nous pensons que cela crée une culture de cybersécurité négative. Si vous souhaitez créer une culture de cybersécurité saine, nous avons rédigé un article complet à ce sujet.

Mesurer l’évolution des taux au fil du temps

Tout indicateur de test d’hameçonnage est une représentation d’un seul test à un moment donné. Là où ces indicateurs deviennent intéressants, c’est en mesurant la façon dont ils évoluent au fil du temps.

L’exemple le plus courant consiste à comprendre comment vos taux de clic et de signalement pour l’organisation changent d’un mois à l’autre. Votre objectif est de réduire les taux de clic et d’améliorer les taux de signalement pour l’ensemble de l’organisation au fil du temps jusqu’à ce qu’ils plafonnent à un niveau confortable par rapport à votre investissement en formation.

Si vous mettez en œuvre un programme de formation ciblé pour un groupe ou une personne à haut risque en particulier, vous observerez également comment leurs indicateurs s’améliorent au fil du temps, jusqu’à ce qu’ils atteignent un certain seuil où ils ne sont plus considérés comme à haut risque (par exemple, leur taux de clic d’hameçonnage se situant dans un écart raisonnable par rapport à la moyenne de l’organisation).

Le fait de regarder comment les indicateurs évoluent au fil du temps peut également vous aider à comprendre quelles saisons ou quels événements temporels ont une incidence sur vos indicateurs d’hameçonnage. Un exemple unique que nous avons observé cette année est la façon dont les taux de clic d’hameçonnage ont changé lorsque les employés ont commencé à travailler à domicile pendant la COVID-19. Nous avons vu les taux de clic de simulations d’hameçonnage bondir pour la plupart de nos clients en mars, avril et mai, puis commencer à revenir à leurs niveaux d’origine tout au long de l’été alors que la peur de la pandémie et l’incertitude à l’égard du travail à distance se sont normalisées. Vous pourriez possiblement voir des changements similaires pendant la saison des impôts et les vacances d’hiver, qui sont deux événements saisonniers souvent associés à une augmentation des activités d’hameçonnage.

Comparer différents modèles

La plateforme de formation sur la sensibilisation envers la cybersécurité de l’ACEI envoie chaque mois des tests d’hameçonnage complètement aléatoires à tous les employés. Cela signifie des modèles aléatoires pour des personnes aléatoires à des moments aléatoires, à une cadence mensuelle.

Après avoir mis en place un programme mensuel de tests d’hameçonnage pendant quelques mois, vous commencerez à voir quels types de courriels d’hameçonnage sont plus ou moins efficaces au sein de votre organisation.

Tout d’abord, il y a la catégorie de modèles d’hameçonnage. Par exemple, vous pouvez constater que les modèles liés au magasinage sont plus susceptibles d’engendrer un clic de la part de vos employés que les modèles liés à la livraison.

Mais vous pouvez également aller directement au modèle lui-même. Peut-être que les modèles de Postes Canada sont plus susceptibles d’être cliqués que les modèles de Fedex, même s’ils sont tous deux liés à la livraison.

Aller au-delà des taux de test d’hameçonnage

En aucun cas ces types d’indicateurs ne doivent être examinés de façon isolée. Vous pouvez combiner ces trois rapports pour découvrir des histoires très intéressantes.

Par exemple, vous pouvez constater que différents types de modèles deviennent plus ou moins risqués avec le temps. Vous constaterez peut-être que si les clics d’hameçonnage augmentent généralement pendant les vacances d’hiver, les modèles liés au magasinage sont ceux qui ont une incidence disproportionnée sur vos utilisateurs pendant cette période.

Ou vous constaterez peut-être que les différences régionales dans le contenu des courriels ont une incidence sur les services ou bureaux les plus vulnérables au hameçonnage; par exemple, votre bureau en Colombie-Britannique ne tomberait évidemment jamais dans le panneau d’un courriel d’hameçonnage qui parle du renouvellement de la carte Santé de l’Ontario.

Le fait de parler des histoires que ces indicateurs peuvent raconter sert à aller au-delà des indicateurs de tests d’hameçonnage ponctuels et de progresser vers la compréhension des risques uniques auxquels votre organisation est confrontée et d’appliquer une formation et des tests d’hameçonnage ciblés pour atténuer ces risques.

L’avantage de l’adoption d’un outil d’hameçonnage automatisé est qu’il vous simplifie la tâche en envoyant des campagnes et en recueillant des données afin que vous puissiez passer plus de temps à réfléchir aux histoires des données et à élaborer vos plans pour améliorer et cibler votre programme de formation sur la sensibilisation.

Prêt à lancer des tests de phishing dans votre organisation?

La formation de sensibilisation à la cybersécurité de l'ACEI facilite l'automatisation d'un programme mensuel de phishing et la mesure des risques de phishing dans votre organisation.