Sensibiliser les employés au smishing contribue à limiter les risques de manipulation et à protéger les informations sensibles de votre entreprise face aux attaques par SMS.

1 - Objectifs

Planifier votre campagne de smishing
Cibler les employés à entraîner avec votre campagne de smishing
Sélectionner le ou les scénarios pertinents

2 - Prérequis

Avoir accès au module de Smishing dans la plateforme Arsen
Avoir configuré au préalable les numéros de téléphone des employés concernés
Posséder les droits nécessaires pour lancer une campagne

3 - Accéder à la création d’une campagne

Cliquer sur Campaigns dans la section Smishing du menu principal
Cliquer sur + New Campaign pour commencer la configuration

Page “Smishing Campaigns” affichant la liste vide des campagnes et un bouton “New Campaign”.

4 - Programmer votre campagne

4.1 - Nom de la campagne

Donner un nom à votre campagne

4.2 - Choisir le type de campagne en fonction de l'objectif

Définir l’objectif de votre campagne : évaluer ou entraîner les collaborateurs.

4.2.1 - Mode Assessment (Évaluation)

Le mode "Assessment" ou Évaluation permet d'évaluer le comportement des collaborateurs dans des conditions les plus réalistes possibles.

Sélectionner Assessment.
Après une compromission, l’utilisateur est redirigé vers un lien de votre choix
Ce mode ne rejoue pas le SMS sur une page de micro-apprentissage afin d'être le plus furtif possible

Création d’une campagne smishing dans Arsen – Choix de l’objectif “Assessment” mis en évidence.

4.2.1 - Mode Training (Entraînement)

Le mode "Training" ou Entraînement ajoute la page d'entraînement après la compromission ou le clic du collaborateur pour le former au moment de son erreur.

Sélectionner Training
Après clic ou compromission, l’utilisateur accède à la page de micro-learning
Le contenu rejoue le SMS et met en lumière les indices qui auraient dû alerter le collaborateur

Création d’une campagne smishing dans Arsen – Choix de l’objectif “Training” mis en évidence.

Pour en savoir plus sur les différences entre ces deux types de campagnes et leurs buts voici un article expliquant les différences entre une campagne d'évaluation et une campagne d'entraînement.

📚 À savoir

Contrairement au phishing :
- aucun whitelisting ou allow-listing n’est nécessaire
- les SMS sont envoyés via des numéros à forte réputation pour maximiser leur délivrabilité

Conséquences sur le rythme d’envoi :
- les envois sont étalés linéairement sur plusieurs jours en fonction du nombre de cibles

5 - Sélectionner les employés à entraîner

Cliquer sur Continue pour accéder à cette étape.

2 choix sont possibles :

Employees : sélectionner les collaborateurs individuellement ou bien l’ensemble de l’entreprise
Groups : cibler un ou plusieurs groupes

Cliquer sur Continue pour choisir votre scénario.

Sélection des groupes cibles pour la campagne smishing – Liste des groupes avec types et scores, option Groups sélectionnée.

6 - Choisir le scénario

Sélectionner votre scénario en cliquant sur Select dans la vignette du scénario de votre choix.

Il est possible et recommandé de sélectionner plusieurs scénarios, qui seront répartis aléatoirement sur vos employés tout au long de la campagne de smishing.

Cliquer sur Continue pour passer au résumé des paramètres de la campagne de smishing.

Bibliothèque des scénarios smishing – Bouton “Select Scenario” affiché sur une vignette de scénario.

7 - Déterminer le calendrier d'envoi de votre campagne de smishing avant lancement

Une série d'actions est disponible pour vous permettre de gérer les jours d'envois et la cadence d'envoi de vos sms.

Écran Review & Launch permettant de vérifier la configuration complète avant de lancer la campagne de smishing.

7.1 - Nombre d’employés ciblés

Indique combien d’utilisateurs seront réellement contactés (Employees involved)
Les employés sans numéro de téléphone sont automatiquement exclus de la campagne

Indicateur Involved Employees affichant 100 employés ciblés et le coût en crédits de la campagne.

7.2 - Choix de la date de départ de la campagne.

Permet d'indiquer une date précise lorsque la campagne doit démarrer dans le futur.
Sans action sur ce paramètre, la date de départ est programmée à maintenant.

Paramètre Start Date affichant le démarrage immédiat de la campagne.

Fenêtre Campaign Start Date permettant de planifier la date de lancement de la campagne via un calendrier.

7.3 - Déterminer les jours et les heures sur lesquelles envoyer les sms.

Cliquer sur Sending Window
Choisir les jours sur lesquels envoyer des sms
Choisir le créneau horaire d'envoi des sms
Modifier au besoin votre fuseau horaire pour être pertinent sur la zone visée.

Paramétrage de la Sending Window définissant les jours, horaires et fuseau horaire d’envoi des SMS.

⚠️ Attention

Si vous sélectionnez le 23 janvier, mais que cette date ne correspond pas à l’un des jours de la semaine définis dans la sending window, la campagne débutera le premier jour suivant le 23 janvier qui fait partie des jours de la semaine sélectionnés.

7.4 - Choisir la fréquence d'envoi de vos sms.

3 choix sont possibles :

Slow : Envoi des sms au plus lent.
Medium : Répartition des sms entre le très rapide ou le plus lent.
Fast : Envoi au plus vite de l'ensemble des sms.

Selon la vitesse d'exécution choisie, les sms peuvent être envoyés sur plusieurs jours ou même plusieurs mois.

Récapitulatif de la campagne avec date de début, fenêtre d’envoi et rythme de diffusion sélectionnés.

7.5 - Récapitulatif des scénarios

Les scénarios sélectionnés apparaissent sous forme d'image miniature dans la rubrique Scenarios.

Liste des scénarios de smishing sélectionnés pour cette campagne, incluant pages de faux correctif, réinitialisation Google et SMS de livraison.

7.6 Lancement de la campagne

Cliquer sur le bouton Launch en bas de page pour lancer votre campagne.

Bouton Launch permettant de démarrer la campagne de smishing depuis l’étape Review & Launch.

Créer une campagne de Smishing