Pour le technicien qui intervient.
Un test de phishing dont les resultats sont publiés nominativement ou utilises pour sanctionner est contre-productif : les utilisateurs cachent leurs erreurs et ne signalent plus rien. L'objectif est pedagogique : un utilisateur qui clique recoit une formation immediate, sans communication a son manager. La culture sécurité passe par la confiance.
Un taux de clic faible mais un taux de signalement faible aussi indique que les utilisateurs ne sont pas trompes mais ne savent pas alerter. Deployer un bouton 'Signaler phishing' dans le client de messagerie et mesurer le taux de signalement. Objectif cible : taux de signalement superieur au taux de clic.
La directive NIS2 art. 21 et ISO 27001 A.7.2.2 imposent une sensibilisation continue des utilisateurs aux risques cyber. Le phishing reste le vecteur d'attaque numéro 1. Les tests reguliers sont l'une des methodes les plus efficaces pour mesurer et ameliorer la vigilance des collaborateurs.
Si tous les tests utilisent un scenario 'colis non livre', les utilisateurs apprennent a reconnaitre ce seul leurre. Varier : usurpation interne (IT, RH, DG), facture, paiement, urgence. Suivre les scenarios de phishing reels recents (CERT-FR, Phishtank) pour rester pertinent.
L'apprentissage est maximal au moment de l'erreur. Configurer la plateforme pour rediriger automatiquement vers une page pedagogique de 2 a 3 minutes en cas de clic. Cette formation 'just-in-time' est plus efficace qu'une formation annuelle de 30 minutes.
Pour le responsable / gestionnaire.
Un test de phishing dont les resultats sont publiés nominativement ou utilises pour sanctionner est contre-productif : les utilisateurs cachent leurs erreurs et ne signalent plus rien. L'objectif est pedagogique : un utilisateur qui clique recoit une formation immediate, sans communication a son manager. La culture sécurité passe par la confiance.
Un taux de clic faible mais un taux de signalement faible aussi indique que les utilisateurs ne sont pas trompes mais ne savent pas alerter. Deployer un bouton 'Signaler phishing' dans le client de messagerie et mesurer le taux de signalement. Objectif cible : taux de signalement superieur au taux de clic.
La directive NIS2 art. 21 et ISO 27001 A.7.2.2 imposent une sensibilisation continue des utilisateurs aux risques cyber. Le phishing reste le vecteur d'attaque numéro 1. Les tests reguliers sont l'une des methodes les plus efficaces pour mesurer et ameliorer la vigilance des collaborateurs.
L'apprentissage est maximal au moment de l'erreur. Configurer la plateforme pour rediriger automatiquement vers une page pedagogique de 2 a 3 minutes en cas de clic. Cette formation 'just-in-time' est plus efficace qu'une formation annuelle de 30 minutes.
Un test ponctuel n'a pas de valeur. Tracer le taux de clic et le taux de signalement sur 12 mois minimum, en distinguant population (services, anciennete, equipes critiques). La courbe est un excellent indicateur de la maturite sécurité que les auditeurs ISO 27001 et NIS2 apprecient.
Pour l'auditeur et le contrôle de conformité.
Un test ponctuel n'a pas de valeur. Tracer le taux de clic et le taux de signalement sur 12 mois minimum, en distinguant population (services, anciennete, equipes critiques). La courbe est un excellent indicateur de la maturite sécurité que les auditeurs ISO 27001 et NIS2 apprecient.