La différence entre une campagne d'entraînement (Training Awareness Campaign) et une campagne d'évaluation (Phishing Assessment Campaign) dépend de l'objectif de la campagne.
1 - Objectif
La différence entre une campagne d’entraînement et une campagne d’évaluation dépend de l’objectif recherché.
Une campagne d’entraînement sert à sensibiliser et entraîner les collaborateurs à la détection d’une tentative de phishing.
Une campagne d’évaluation vise à mesurer le niveau réel de sécurité de l’entreprise à un instant donné, de manière plus discrète.
2 - Prérequis
Avant de lancer une campagne, certaines conditions doivent être réunies.
Avoir accès à la rubrique Campaign de la catégorie Phishing Simulation.
Avoir un rôle utilisateur qui permet la création de campagnes (Rôle Admin ou Owner)
3 - Créer une campagne
Pour créer une nouvelle campagne :
Dans la rubrique Phishing Simulation, cliquer sur
CampaignCliquer sur
New Campaign.
4 - Lancer une campagne d'entraînement
Configurer une campagne d'entraînement, c'est avoir en objectif principal la sensibilisation des collaborateurs.
Une campagne d'entrainement (Training Awareness Campaign) permet d'afficher une page de formation dédiée en cas d'échec de l'employé.
4.1 - Créer une campagne d’entraînement
Cliquer sur
Training Awareness Campaign.La vignette indique que la campagne sensibilise les collaborateurs via :
l’envoi d’un email de phishing ;
l’affichage d’une page de formation dédiée en cas d’échec.
4.2 - Choisir le niveau de simulation
4.2.1 - Utiliser le mode Credential Harvesting
Ce mode joue l’intégralité du scénario et vise à collecter les identifiants des employés, afin de mesurer :
l’ouverture du mail ;
le clic sur le lien ;
la compromission via la saisie d’identifiants ;
l’accès à la page d’entraînement en cas de compromission.
Toutes les étapes apparaissent dans les statistiques.
4.2.2 - Utiliser le mode Click-Only
Ce mode est idéal pour renforcer les réflexes des publics les moins expérimentés.
Particularités :
pas de page de vol d’identifiants ;
seuls les clics influencent à la baisse le score de sécurité ;
redirection directe vers la page d'entraînement après le clic.
⚠️ Attention
Dans le cadre d'une campagne clic-only, le clic ne constitue pas une compromission.
5 - Lancer une campagne d'évaluation
Une campagne d'évaluation permet d’obtenir une mesure fiable et discrète du comportement des collaborateurs.
L'idée est de ne pas révéler aux employés qu'il s'agissait d'un test et de simuler une vraie attaque en redirigeant les employés compromis sur une URL.
Par défaut cette URL est celle menant au site qui a été copié dans le scénario.
5.1 - Créer une campagne d’évaluation
Pour créer une campagne d'évaluation, cliquer sur Phishing Assessment Campaign.
Cette campagne permet de :
simuler une attaque réelle ;
évaluer le comportement face aux risques de phishing en limitant la communication entre les employés.
rediriger les utilisateurs compromis vers une URL (par défaut celle du site imité).
📚 Note
Associer ce type de campagne avec un choix de scénarios multiple et une imprédictibilité sur les dates d'envois de vos emails assure une grande discretion.
5.2 - Choisir le niveau de simulation
5.2.1 - Utiliser le mode Credential Harvesting (recommandé)
Ce mode reproduit fidèlement une attaque.
Les données collectées incluent :
l’ouverture du mail ;
le clic ;
la compromission via la saisie d’identifiants ;
la redirection vers l’URL légitime du site copié dans le scénario choisie.
Chaque étape est enregistrée dans les statistiques.
5.2.2 - Utiliser le mode Click-Only
Particularités :
suppression de la landing page ;
adapté à certains vecteurs d'attaque (ex. téléchargement de fichier) ;
utilise uniquement les clics pour l’analyse.