September 2024

Fini les faux positifs : 4 conseils pour des résultats de simulation de phishing fiables

Benjamin Netter Riot CEO
Benjamin Netter
CEO

Vous organisez des simulations de phishing pour protéger vos équipes des vrais escrocs. Encore faut-il que ces exercices vous donnent des clés de lecture fiables, pour savoir quels collaborateurs arrivent à détecter les attaques ou non. Malheureusement, on se heurte parfois à de faux positifs qui faussent la donne.

Dans cet article, nous allons aborder le phénomène des faux positifs dans les simulations de phishing, et voir pourquoi les plateformes comme KnowBe4 semblent en rencontrer autant. Toutes ne se valent pas. Pour vous aider, on vous explique comment on traite le problème des faux positifs chez Riot à travers 4 étapes simples.

Mais tout d'abord, revenons sur une question fondamentale. Pourquoi parle-t-on de faux positifs ? Et pourquoi certaines plateformes de simulation de phishing en génèrent-elles autant ?

Qu’est-ce qu’un faux positif dans une simulation de phishing ?

Au cours d’une simulation de phishing, un faux positif est un échec comptabilisé par erreur alors que l’utilisateur a répondu à un email (ou un message) test par une action légitime.

Supposons qu’un utilisateur ait activé un logiciel antivirus, qui analyse tous les emails reçus et « clique » sur les liens à l’avance. Si votre outil de simulation de phishing enregistre ces « clics » comme des échecs en réponse à un test, alors que l’utilisateur n’a pas du tout interagi avec l’email en question, vous obtenez ce qu’on appelle des faux positifs.

Lors des simulations, certains signes doivent vous alerter sur la présence de faux positifs. Si vous recevez des notifications d’échec quelques secondes seulement après l’envoi d’un test de phishing, ou si vous avez un taux d’échec de 100 %, il est très probable qu’il s’agisse de faux positifs.

On pourrait se dire que ce ne sont que des erreurs ponctuelles et isolées. En réalité, le problème est bien plus important. Certaines études ont même révélé qu’une alerte de cybersécurité sur cinq était un faux positif.

Alors si vous effectuez des simulations de phishing dans le but d’identifier les collaborateurs les plus vulnérables à de vraies attaques, les faux positifs sont un vrai fléau. Dans certains cas, ils peuvent même augmenter le risque de vrai phishing.

Aller plus loin : Comment réaliser une simulation de phishing ultra-réaliste en 6 étapes

Les 5 plus grands risques à se fier aux faux positifs

Les faux positifs peuvent paraître anodins, mais peuvent avoir des conséquences importantes :

#1: Compliquer les efforts de sensibilisation aux risques de phishing

Organiser des simulations de phishing successives vous permet d’obtenir un état des lieux de la vulnérabilité de vos collaborateurs. Vous savez alors qui a le plus besoin de telle ou telle formation plus poussée pour apprendre à détecter les attaques et réduire progressivement les risques de cybermenaces. Mais pour ce faire, vous devez pouvoir vous fier à vos résultats.

Riot simulation de phishing resultats

Sinon, vous allez déduire que vos équipes sont bien plus vulnérables aux attaques de phishing qu’elles ne le sont en réalité. Et donc, envoyer des tests de phishing ou des formations aux mauvaises cohortes. Autrement dit, une perte de temps, d’énergie et d’argent pour tout le monde. D’ailleurs, en parlant d’argent…

#2: Nuire à la bonne allocation des ressources

Certains apprenants finissent par suivre plusieurs fois la même formation de sensibilisation sans en avoir vraiment besoin. Pire encore, ceux qui en auraient vraiment besoin risquent de passer à côté.

À une époque où les budgets cybersécurité sont passés à la loupe, les faux positifs sont une erreur d’appréciation que nous ne pouvons tout simplement pas nous permettre.

#3: Poser des problèmes de non-conformité et de reporting

Toute organisation prospère s'appuie sur des données fiables, et les simulations de phishing n'échappent pas à la règle. Autrement dit, si vos dirigeants ne peuvent pas se fier aux résultats de vos simulations pour estimer le risque réel d’attaque, ils ne sauront pas si vous faites avancer les choses dans la bonne direction.

En outre, des données inexactes pourraient entraver la préparation des rapports d'audit et votre conformité réglementaire en matière de cybersécurité. Enfin, votre organisation s’expose à des problèmes juridiques.

Besoin d'aide pour mesurer vos progrès en cybersécurité ? Consultez notre checklist gratuite.

12 indicateurs clés en cybersécurité
12 indicateurs clés en cybersécurité

#4: Miner le moral de l’équipe

Échouer à une simulation de phishing est stressant. Mais se faire remarquer pour une erreur que l'on n'a pas commise l’est encore plus. Les faux positifs peuvent ébranler la confiance de vos collaborateurs dans votre formation de sensibilisation à la cybersécurité, entraînant une baisse de l'engagement et du nombre de participants.

Sans parler des conséquences sur l'équipe sécurité, quoi doit traiter les faux positifs. En masse, ils pourraient bien créer un risque de burnout pour vous ou vos salariés.

Enfin et surtout...

#5: Rendre vos simulations de phishing inutiles

Le recours à une plateforme de simulation de phishing représente un investissement important en termes de temps, d'énergie et de relationnel. Non seulement vous investissez dans la plateforme, mais vous devez aussi convaincre vos équipes de jouer le jeu et de se faire piéger dans un environnement sûr.

Si, au bout du compte, vos simulations ne vous renseignent pas sur les personnes les plus vulnérables, à quoi bon les réaliser ?

Alors pourquoi certains outils de simulation de phishing produisent-ils autant de faux positifs ? Et surtout, pourquoi tant d'utilisateurs continuent-ils à s'en accommoder ?

Pourquoi les utilisateurs de plateformes comme KnowBe4 reçoivent-ils autant de faux positifs ?

Chez Riot, nous nous intéressons toujours à ce que fait la concurrence. Et dernièrement, nous avons remarqué une augmentation des discussions sur les faux positifs générés par d’autres outils de simulation : KnowBe4, Proofpoint et même Microsoft.

Il y a plusieurs raisons à cela :

  • Toute plateforme de phishing digne de ce nom ne doit pas négliger l’onboarding des utilisateurs. Si les organisateurs ne reçoivent pas les bons conseils sur la manière d'éviter les faux positifs lors de leurs simulations, il n'est pas étonnant qu'ils rencontrent ensuite des problèmes.
  • Certaines plateformes de phishing ne sont peut-être pas suffisamment attentives aux derniers développements en matière de solutions de sécurité automatisées. Et leurs simulations ne sont pas capables de détecter les réponses légitimes aux tests de phishing et de les distinguer des véritables échecs.
  • Certaines plateformes ne permettent pas d'examiner manuellement les échecs aux tests de phishing, ce qui complique l’analyse des faux positifs par les administrateurs système.

Heureusement pour vous, nous avons la solution contre les faux positifs.

4 étapes pour lutter contre les faux positifs avec Riot

Nous savons à quel point il est important pour vous de recueillir des résultats fiables et précis à vos simulations de phishing. Après tout, vous consacrez du temps et de l’énergie à créer quelque chose d’assez sournois pour tester votre équipe. Le moins que l’on puisse faire est de nous assurer que vous ne comptiez que les vrais échecs !

Voici la méthode Riot pour lutter contre les faux positifs :

Étape 1 : Établir un comportement type des utilisateurs

La plupart des faux positifs sont dus aux systèmes de sécurité qui analysent et vérifient automatiquement les emails de simulation de phishing et les liens qu’ils contiennent. Pour ce problème précis, nous avons identifié des profils de comportements des utilisateurs réels. Ils nous servent à filtrer les comportements qui ne proviennent pas d’utilisateurs réels.

Par exemple, si un utilisateur clique sur un email de test un centième de seconde après son envoi, il s’agit probablement d’un navigateur sans tête ou d’une extension Chrome. De même, les utilisateurs réels ont des plugins et des préférences linguistiques pour leur navigateur ; aussi nous recherchons les utilisateurs qui n’ont pas de plugins ou de paramètres linguistiques.

Cela étant, les systèmes de sécurité évoluent sans cesse et sont de plus en plus nuancés et sophistiqués. C’est pourquoi nous mettons constamment à jour notre profil d’utilisateur.

Étape 2 : Détecter et bloquer des milliers (et des milliers !) de bots

Détecter et empêcher les bots d’interférer avec les résultats des simulations de phishing de nos utilisateurs est indispensable. Et il ne s’agit pas de quelques bots sporadiques : le mois dernier, nous en avons bloqué près de 5 000. Pour y parvenir, nous avons besoin des bons outils.

Chez Riot, nous utilisons Fingerprint pour empêcher les bots de générer des résultats erronés. Cet outil fournit des informations précises sur les points de contact avec les utilisateurs, en triant les identifiants uniques de chaque machine pour déceler les vrais utilisateurs des faux.

Pour prévenir les faux positifs, nous appliquons diverses techniques de backend comme des contrôles d’adresses IP et des vérifications d’IP bloquées. Dans notre dernière mise à jour, nous avons commencé à filtrer les utilisateurs de Chrome DevTools Protocol (CDP), dont la machine génère des faux positifs dus à des bots.

Étape 3 : Travailler avec nos utilisateurs pour bien configurer les simulations

Nous travaillons en étroite collaboration avec nos utilisateurs pour veiller à ce que leurs campagnes soient correctement configurées. Dans la pratique, cela signifie :

  • Établir une « Whitelist » (approuvée en amont) des domaines utilisés dans les simulations de phishing. Ainsi, les systèmes de sécurité des utilisateurs tels que les pare-feux ne bloqueront pas le test de façon systématique.
  • Sensibiliser les utilisateurs à la manière dont l'ensemble de leurs outils pourrait interférer avec leurs simulations. Par exemple, l’utilisation de Selenium pour automatiser les navigateurs peut entraîner un pic de faux positifs.
  • Aider les administrateurs système à définir les actions qui seront considérées comme des échecs aux tests de phishing, et les communiquer clairement à leurs équipes.

Étape 4 : On recommence !

La prévention des faux positifs aux tests de phishing est un effort continu. C’est pourquoi nous réitérons ces étapes, encore et encore, pour que les données obtenues soient aussi claires et précises que possible. Et bien qu’il soit impossible d’éviter 100 % des faux positifs, nous mettons tout en œuvre pour nous en approcher.

Ne vous contentez pas de résultats erronés pour vos simulations de phishing

Réaliser des simulations de phishing efficaces requiert du temps et de l’énergie. Il faut trouver les bonnes accroches, suivre les campagnes et en assurer le suivi avec une formation de sensibilisation pour améliorer votre niveau de sécurité.

S’il y a bien une chose dont vous n’avez pas besoin, c’est d’un faux positif. Alors on travaille dur pour vous faciliter la vie et vous garantir des données de simulation fiables, précises et exploitables.

Pour savoir comment Riot peut vous aider, vous et votre équipe, à prévenir les dernières cybermenaces grâce à des simulations de phishing ultra-réalistes et efficaces, contactez l'un de nos experts dès aujourd'hui.