Lors d’un récent webinaire, nous avons abordé l’importance de la sensibilisation à l’hameçonnage en continu. Ainsi, nous avons profité de l’occasion pour vous présenter notre plateforme : Vigilance + – dont le but est d’accompagner les employés dans leurs parcours pour rester vigilant en tout temps.
Pourquoi favoriser la sensibilisation en continu
Il y a quelques années, la formation ponctuelle une fois par an était d’usage pour sensibiliser les employés aux risques d’hameçonnage. Aujourd’hui, les personnes malveillantes usent de stratagèmes de plus en plus réalistes pour pouvoir hameçonner leurs victimes. La menace étant en constante évolution, le fait de maintenir une cadence de sensibilisation en continu permet de garder vos équipes en alerte face aux risques afin de s’assurer que les individus soient constamment vigilants.
Une approche pragmatique en 5 étapes
La plateforme de sensibilisation en continu Vigilance + propose une approche pragmatique en 5 étapes pour sonder vos employés, les former, les exercer, et les évaluer, leur permettre de progresser en continu !
Avec Vigilance +, vous bénéficierez également d’une banque additionnelle de formations sur les outils de Microsoft 365 en format e-learning.
Étape 1 – Sondage initial :
La plateforme propose à vos employés une enquête de 24 questions lui permettant d’établir un profil de risque.
Exemples de questions :
- Avez-vous déjà partagé votre mot de passe du travail avec une autre personne ?
- Dans mon rôle, l’information qui m’est confiée est une cible pour les criminels ?
- Envoyez-vous ou sauvegardez-vous des informations du travail sur des comptes de messageries personnelles ou emmagasinez-vous des informations sur des lecteurs ?
La plateforme détermine, grâce aux réponses de votre employé, s’il est déjà sensible aux risques liés à la cybersécurité et si ses comportements sont prudents ou à risque.
Étape 2 – Formation initiale :
Une fois le sondage terminé, l’utilisateur est invité à suivre les 4 formations suivantes :
Cybersécurité 101 : Le monde de la cybercriminalité
Cybersécurité 102 : Pirater des humains
Cybersécurité 103 : Logiciels malveillants
Cybersécurité 104 : Se protéger
Chaque formation éveille les utilisateurs sur différents aspects de la cybersécurité. Le gestionnaire peut quant à lui suivre l’évolution de l’employé.
🌟 Le petit + : Dans la catégorie « Marché », vous avez accès à une énorme banque de cours sur la cybersécurité auxquels vous pouvez donner accès à vos employés si vous le désirez. Vous pourriez en trouver qui sont directement liés à votre secteur d’industrie.
Étape 3 – Simulation de base :
Une fois les 4 formations complétées par l’utilisateur, une série de 3 simulations de courriels d’hameçonnage lui est envoyée. La difficulté des 3 courriels est variable afin de tester ses connaissances et de le mettre au défi d’apprendre à repérer et à signaler une véritable attaque par hameçonnage. Attention : les simulations diffèrent d’un employé à l’autre pour plus d’efficacité!
Selon les résultats obtenus par l’utilisateur, la plateforme continue d’évoluer en suivant le profil de l’individu. Ainsi, il recevra des courriels du même type que ceux où il aura été le moins vigilant. D’autre part, elle lui proposera de nouvelles formations en lien avec ses faiblesses afin d’améliorer ses compétences !
Le sondage, le suivi des cours, et la réaction de l’employé face à la série de courriels vont permettre d’établir une côte de risque de l’utilisateur.
Étape 4 – Sondage de complétion :
Les membres de l’équipe reçoivent une enquête d’achèvement pour évaluer leur formation et leur expérience.
Exemples de questions :
- Comprenez-vous le rôle important que vous jouez dans la protection de votre organisation contre les cybercriminels ?
- Estimez-vous en savoir davantage au sujet de la sécurité à la suite de cette expérience ?
- Estimez-vous que votre organisation vous ait fourni assez d’informations pour vous protéger contre les cyberattaques ?
Les réponses de vos équipes permettent aux gestionnaires et personnes chargés de la sensibilisation à la sécurité de votre entreprise d’avoir un aperçu du succès de la formation initiale.
Étape 5 – Simulations continues :
Une fois le sondage de complétion passé, les membres de l’équipe reçoivent des simulations d’hameçonnage aléatoires, variées, sur une base mensuelle ou à l’intervalle de votre choix, qui vont s’échelonner sur tout le reste de l’année.
Afin de reproduire un environnement proche de la réalité et d’aiguiser la vigilance de chacun, les courriels vont simuler des hameçonnages de complexité et de modèle variés. Vos employés ne reçoivent pas les mêmes courriels, et ils ne les reçoivent pas au même moment.
❤️ Fonctionnalité coup de cœur :
Pendant une campagne d’hameçonnage, l’employé est en mesure de signaler à l’aide d’un bouton relié à sa messagerie Outlook, intégré à Microsoft 365, qu’un courriel lui semble suspect. Lorsqu’il rapporte un courriel comme étant à risque, la plateforme reçoit l’information et vient renseigner la cote de vigilance de votre employé si le courriel signalé présente des risques.
Vous pouvez aussi choisir d’acheminer les courriels comme identifiés à risque à la destination de votre choix à des fins d’analyse.
Vigilance + : Allez plus loin, avec des formations sur Microsoft 365
Offrez à vos employés une banque additionnelle de formations sur les outils de Microsoft 365 en format e-learning.
Formations incluses dans Vigilance + :
- Teams
- Téléphonie IP de Microsoft Teams
- SharePoint
- SharePoint intranet
- OneDrive
- Lists
- Planner
- OneNote
Un outil de suivi de progression pour l’employé et le gestionnaire
La plateforme met en place une cote de risque qui varie de 500 à 1000. Un utilisateur situé autour de 500 est considéré comme quelqu’un de très sécuritaire et va représenter un risque faible pour l’organisation. À l’inverse, plus la cote d’un employé s’approche de 1000, plus il représente un haut risque pour l’organisation.
Vos employés sont en mesure de consulter leurs données personnelles via leurs accès, quant à vous en tant que gestionnaire, vous avez accès aux données de chacun des employés.
Tableau de bord employé :
Chaque employé est en mesure de voir sa cote de risque personnelle et les items où il peut s’améliorer.
Les employés ont accès aux formations et programmes conseillés par la plateforme pour pouvoir se former et accroître leurs compétences.
Vos employés peuvent également consulter les courriels d’hameçonnage qu’ils ont reçu de la part de la plateforme afin de voir si leur degré de vigilance était correct par rapport à la situation.
Tableau de bord gestionnaire :
D’un point de vue organisationnel, en tant que gestionnaire, vous avez la possibilité de voir davantage de métriques.
Vous pouvez, par exemple, choisir de répartir vos employés selon la segmentation la plus intéressante pour vous : par départements, par secteurs géographiques… Cela permet d’établir des statistiques très précises sur les utilisateurs de votre choix.
Vous êtes en mesure d’éditer une large série de rapports en format PDF. Cela peut vous être utile notamment dans une démarche de maintien de conformité dans le cadre d’une norme ISO par exemple.
Exemples de rapports :
- Taux de personnes qui ont cliqué sur un lien frauduleux
- Combien ont rapporté un courriel comme étant « à risque »
- Taux d’indifférence face aux simulations
Ainsi, vous pouvez apprécier dans quelle mesure vos efforts de sensibilisation portent leurs fruits.
En tant que gestionnaire, vous pouvez également accéder à plus de 200 modèles de courriels d’hameçonnage. La plateforme vous donne la possibilité de les éditer afin de rendre le courriel encore plus réaliste !
Pour résumer les avantages de la plateforme Vigilance +
- Une vigilance en continu : La sensibilisation à l’hameçonnage n’étant plus ponctuelle, cela permet à votre équipe de maintenir un instinct de vigilance en continu et pas seulement le temps de la formation.
- Une analyse détaillée des résultats :
- Du point de vue de vos employés, ils peuvent consulter leurs résultats et améliorer leurs compétences en matière de cybersécurité
- Du point de vue des gestionnaires, vous êtes en mesure d’avoir une vision d’ensemble de l’organisation ou de vous focaliser selon les critères choisis. Vous pouvez éditer des rapports de suivi pour mesurer l’impact des efforts de sensibilisation.
- Des utilisateurs à risque identifiés et formés : Les gestionnaires peuvent identifier les personnes à risque et les former pour réduire le risque au sein de l’organisation.
- Un Bouton « Vigilance » dans Outlook :
- Ce bouton est intégré à Outlook et agit comme une sonnette d’alarme. Il permet aux employés de signaler des courriels suspects. Le bouton communique avec la plateforme Vigilance et permet de renforcer (ou non) la cote de risque des individus.
- Les courriels désignés peuvent également être acheminés à la destination de votre choix à des fins d’analyses.
- Un outil entièrement bilingue (bientôt trilingue) : La plateforme est disponible en français et en anglais. Les courriels d’hameçonnage sont aussi dans la langue de l’utilisateur. Prochainement, elle sera aussi disponible en espagnol.
- Solution clé en main tout inclus : Vigilance est une solution clé en main, tout inclus. En adhérant à cette solution, votre équipe aura accès à toutes les facettes de la plateforme de sensibilisation à l’hameçonnage :
- La partie éducative (banque de formation) ; version Vigilance + pour des formations M365,
- La partie immersive (courriels d’hameçonnage fictifs, mais réalistes),
- La partie évaluation (sondage initial, sondage de complétion et évaluation continue),
- Le suivi (rapports d’évaluation, cote de risque).
En bref
Les pirates informatiques évoluent, et vos solutions de sensibilisation doivent également devenir de plus en plus sophistiquées. La plateforme Vigilance est un investissement pour toute entreprise qui veut gérer son risque adéquatement. Faites appel à l’équipe de MS Solutions pour vous aider à évaluer les meilleures solutions de cybersécurité pour votre entreprise.
Cet article présente du contenu discuté lors d’un précédent webinaire. Pour voir ce webinaire en rediffusion, c’est par ici. Inscrivez-vous à notre infolettre afin de recevoir vos invitations aux futurs webinaires.
