Commencer à utiliser la formation à la simulation d’attaque
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans les organisations avec Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), vous pouvez utiliser Exercice de simulation d’attaque dans le Microsoft Defender pour exécuter des scénarios d’attaque réalistes dans votre organization. Ces attaques simulées peuvent vous aider à identifier et à trouver les utilisateurs vulnérables avant qu’une attaque réelle n’affecte votre résultat net.
Cet article explique les principes de base de Exercice de simulation d’attaque.
Regardez cette courte vidéo pour en savoir plus sur Exercice de simulation d’attaque.
Remarque
Exercice de simulation d’attaque remplace l’ancienne expérience du simulateur d’attaque v1 qui était disponible dans le Centre de conformité & de sécurité à l’adresseSimulateur d’attaquede gestion des> menaces ou https://protection.office.com/attacksimulator.
Ce qu'il faut savoir avant de commencer
Exercice de simulation d’attaque nécessite une licence Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations sur les conditions de licence, consultez Termes du contrat de licence.
Exercice de simulation d’attaque prend en charge les boîtes aux lettres locales, mais avec des fonctionnalités de création de rapports réduites. Pour plus d’informations, consultez Signalement de problèmes liés aux boîtes aux lettres locales.
Pour ouvrir le portail Microsoft Defender, accédez à https://security.microsoft.com. Exercice de simulation d’attaque est disponible dans Email et collaboration>Exercice de simulation d’attaque. Pour accéder directement à Exercice de simulation d’attaque, utilisez https://security.microsoft.com/attacksimulator.
Pour plus d’informations sur la disponibilité des Exercice de simulation d’attaque entre différents abonnements Microsoft 365, consultez Microsoft Defender pour Office 365 description du service.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
autorisations Microsoft Entra : vous devez être membre de l’un des rôles suivants :
- Administrateur général¹
- Administrateur de sécurité
- Administrateurs de simulation d’attaque² : créez et gérez tous les aspects des campagnes de simulation d’attaque.
- Auteur de charge utile d’attaque² : créez des charges utiles d’attaque qu’un administrateur peut lancer ultérieurement.
Importante
¹ Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
² L’ajout d’utilisateurs à ce groupe de rôles dans Email & autorisations de collaboration dans le portail Microsoft Defender n’est actuellement pas pris en charge.
Actuellement, Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié (RBAC) n’est pas pris en charge.
Il n’existe aucune applet de commande PowerShell correspondante pour Exercice de simulation d’attaque.
Les données liées à la simulation d’attaque et à l’entraînement sont stockées avec d’autres données client pour les services Microsoft 365. Pour plus d’informations, consultez Emplacements des données Microsoft 365. Exercice de simulation d’attaque est disponible dans les régions suivantes : APC, EUR et NAM. Les pays au sein de ces régions où Exercice de simulation d’attaque est disponible incluent ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE et ZAF.
Remarque
NOR, ZAF, ARE et DEU sont les derniers ajouts. Toutes les fonctionnalités, à l’exception des données de télémétrie des e-mails signalées, sont disponibles dans ces régions. Nous travaillons à l’activation des fonctionnalités et nous informerons les clients dès que les données de télémétrie des e-mails signalées seront disponibles.
Exercice de simulation d’attaque est disponible dans les environnements Microsoft 365 GCC, GCC High et DoD, mais certaines fonctionnalités avancées ne sont pas disponibles dans GCC High et DoD (par exemple, l’automatisation de la charge utile, les charges utiles recommandées, le taux de compromission prédit). Si votre organization dispose de Microsoft 365 G5, Office 365 G5 ou Microsoft Defender pour Office 365 (Plan 2) pour le secteur public, vous pouvez utiliser Exercice de simulation d’attaque comme décrit dans cet article.
Remarque
Exercice de simulation d’attaque offre un sous-ensemble de fonctionnalités aux clients E3 en tant qu’essai. L’offre d’essai contient la possibilité d’utiliser une charge utile de collecte des informations d’identification et la possibilité de sélectionner des expériences de formation « Hameçonnage ISA » ou « Hameçonnage de masse ». Aucune autre fonctionnalité ne fait partie de l’offre d’essai E3.
Simulations
Une simulation dans Exercice de simulation d’attaque est la campagne globale qui fournit des messages d’hameçonnage réalistes mais inoffensifs aux utilisateurs. Les éléments de base d’une simulation sont les suivants :
- Qui reçoit le message d’hameçonnage simulé et à quelle planification.
- Formation que les utilisateurs reçoivent en fonction de leur action ou de leur absence d’action (pour les actions correctes et incorrectes) sur le message d’hameçonnage simulé.
- Charge utile utilisée dans le message d’hameçonnage simulé (un lien ou une pièce jointe) et la composition du message d’hameçonnage (par exemple, package remis, problème avec votre compte ou vous avez gagné un prix).
- Technique d’ingénierie sociale utilisée. La charge utile et la technique d’ingénierie sociale sont étroitement liées.
Dans Exercice de simulation d’attaque, plusieurs types de techniques d’ingénierie sociale sont disponibles. À l’exception du Guide pratique, ces techniques ont été organisées à partir de l’infrastructure MITRE ATT&CK®. Différentes charges utiles sont disponibles pour différentes techniques.
Les techniques d’ingénierie sociale suivantes sont disponibles :
Collecte des informations d’identification : un attaquant envoie au destinataire un message contenant un lien*. Lorsque le destinataire clique sur le lien, il est dirigé vers un site web qui affiche généralement une boîte de dialogue qui demande à l’utilisateur son nom d’utilisateur et son mot de passe. En règle générale, la page de destination a un thème pour représenter un site web connu afin de créer une confiance dans l’utilisateur.
Pièce jointe au programme malveillant : un attaquant envoie au destinataire un message contenant une pièce jointe. Lorsque le destinataire ouvre la pièce jointe, du code arbitraire (par exemple, une macro) s’exécute sur l’appareil de l’utilisateur pour aider l’attaquant à installer du code supplémentaire ou à s’ancrer davantage.
Lien en pièce jointe : cette technique est un hybride d’une collecte d’informations d’identification. Un attaquant envoie au destinataire un message qui contient un lien à l’intérieur d’une pièce jointe. Lorsque le destinataire ouvre la pièce jointe et clique sur le lien, il est dirigé vers un site web qui affiche généralement une boîte de dialogue qui demande à l’utilisateur son nom d’utilisateur et son mot de passe. En règle générale, la page de destination a un thème pour représenter un site web connu afin de créer une confiance dans l’utilisateur.
Lien vers un programme malveillant* : un attaquant envoie au destinataire un message contenant un lien vers une pièce jointe sur un site de partage de fichiers connu (par exemple, SharePoint Online ou Dropbox). Lorsque le destinataire clique sur le lien, la pièce jointe s’ouvre et le code arbitraire (par exemple, une macro) s’exécute sur l’appareil de l’utilisateur pour aider l’attaquant à installer du code supplémentaire ou à s’installer davantage.
Lecteur par URL* : un attaquant envoie au destinataire un message contenant un lien. Lorsque le destinataire clique sur le lien, il est dirigé vers un site web qui tente d’exécuter du code d’arrière-plan. Ce code en arrière-plan essaye de recueillir des informations sur le destinataire ou de déployer du code arbitraire sur son appareil. En règle générale, le site web de destination est un site web connu qui a été compromis ou un clone d’un site web bien connu. La connaissance du site web permet de convaincre l’utilisateur que le lien peut être cliqué en toute sécurité. Cette technique est également connue sous le nom d’attaque de trou d’arrosage.
Octroi *de consentement OAuth : un attaquant crée une Azure Application malveillante qui cherche à accéder aux données. L’application envoie une demande par e-mail contenant un lien. Lorsque le destinataire clique sur le lien, le mécanisme d’octroi de consentement de l’application demande l’accès aux données (par exemple, la boîte de réception de l’utilisateur).
Guide pratique : guide d’enseignement qui contient des instructions pour les utilisateurs (par exemple, comment signaler des messages d’hameçonnage).
* Le lien peut être une URL ou un code QR.
Les URL utilisées par Exercice de simulation d’attaque sont répertoriées dans le tableau suivant :
Remarque
Vérifiez la disponibilité de l’URL de hameçonnage simulé dans vos navigateurs web pris en charge avant d’utiliser l’URL dans une campagne de hameçonnage. Pour plus d’informations, consultez URL de simulation de hameçonnage bloquées par Google Safe Browsing.
Créer des simulations
Pour obtenir des instructions sur la création et le lancement de simulations, consultez Simuler une attaque par hameçonnage.
La page d’accueil de la simulation est l’endroit où les utilisateurs se rendent lorsqu’ils ouvrent la charge utile. Lorsque vous créez une simulation, vous sélectionnez la page d’accueil à utiliser. Vous pouvez sélectionner parmi les pages d’accueil intégrées, les pages d’accueil personnalisées que vous avez déjà créées, ou vous pouvez créer une page d’accueil à utiliser lors de la création de la simulation. Pour créer des pages d’accueil, consultez Pages d’accueil dans Exercice de simulation d’attaque.
Les notifications des utilisateurs finaux dans la simulation envoient des rappels périodiques aux utilisateurs (par exemple, l’affectation d’entraînement et les notifications de rappel). Vous pouvez sélectionner parmi les notifications intégrées, les notifications personnalisées que vous avez déjà créées, ou vous pouvez créer des notifications à utiliser lors de la création de la simulation. Pour créer des notifications, consultez Notifications de l’utilisateur final pour Exercice de simulation d’attaque.
Conseil
Les automatisations de simulation offrent les améliorations suivantes par rapport aux simulations traditionnelles :
- Les automatisations de simulation peuvent inclure plusieurs techniques d’ingénierie sociale et charges utiles associées (les simulations n’en contiennent qu’une seule).
- Les automatisations de simulation prennent en charge les options de planification automatisée (plus que la date de début et la date de fin dans les simulations).
Pour plus d’informations, consultez Automatisations de simulation pour Exercice de simulation d’attaque.
Charge utile
Bien que Exercice de simulation d’attaque contienne de nombreuses charges utiles intégrées pour les techniques d’ingénierie sociale disponibles, vous pouvez créer des charges utiles personnalisées pour mieux répondre aux besoins de votre entreprise, y compris la copie et la personnalisation d’une charge utile existante. Vous pouvez créer des charges utiles à tout moment avant de créer la simulation ou pendant la création de la simulation. Pour créer des charges utiles, consultez Créer une charge utile personnalisée pour Exercice de simulation d’attaque.
Dans les simulations qui utilisent des techniques d’ingénierie sociale de collecte des informations d’identification ou de lien dans attachment, les pages de connexion font partie de la charge utile que vous sélectionnez. La page de connexion est la page web dans laquelle les utilisateurs entrent leurs informations d’identification. Chaque charge utile applicable utilise une page de connexion par défaut, mais vous pouvez modifier la page de connexion utilisée. Vous pouvez sélectionner parmi les pages de connexion intégrées, les pages de connexion personnalisées que vous avez déjà créées, ou vous pouvez créer une page de connexion à utiliser lors de la création de la simulation ou de la charge utile. Pour créer des pages de connexion, consultez Pages de connexion dans Exercice de simulation d’attaque.
La meilleure expérience de formation pour les messages d’hameçonnage simulés consiste à les rendre aussi proches que possible des attaques d’hameçonnage réelles que votre organization pourrait rencontrer. Que se passe-t-il si vous pouviez capturer et utiliser des versions inoffensives de messages d’hameçonnage réels détectés dans Microsoft 365 et les utiliser dans des campagnes de hameçonnage simulées ? Vous pouvez, avec des automatisations de charge utile (également appelées collecte de charge utile). Pour créer des automatisations de charge utile, consultez Automatisations de charge utile pour Exercice de simulation d’attaque.
Exercice de simulation d’attaque prend également en charge l’utilisation de codes QR dans les charges utiles. Vous pouvez choisir dans la liste des charges utiles de code QR intégrées, ou vous pouvez créer des charges utiles de code QR personnalisées. Pour plus d’informations, consultez Charges utiles de code QR dans Exercice de simulation d’attaque.
Rapports et insights
Après avoir créé et lancé la simulation, vous devez voir comment elle se passe. Par exemple :
- Tout le monde l’a-t-il reçu ?
- Qui a fait quoi pour le message d’hameçonnage simulé et la charge utile qu’il contient (supprimer, signaler, ouvrir la charge utile, entrer des informations d’identification, etc.).
- Qui a terminé la formation attribuée.
Les rapports et insights disponibles pour Exercice de simulation d’attaque sont décrits dans Insights et rapports pour Exercice de simulation d’attaque.
Taux de compromission prédit
Vous devez souvent adapter une campagne d’hameçonnage simulée pour des audiences spécifiques. Si le message d’hameçonnage est trop proche de la perfection, presque tout le monde sera trompé par celui-ci. S’il est trop suspect, non sera dupé par elle. De plus, les messages d’hameçonnage que certains utilisateurs considèrent comme difficiles à identifier sont considérés comme faciles à identifier par d’autres utilisateurs. Comment trouver un équilibre ?
Le taux de compromission prédit (PCR) indique l’efficacité potentielle lorsque la charge utile est utilisée dans une simulation. Le protocole PCR utilise des données historiques intelligentes dans Microsoft 365 pour prédire le pourcentage de personnes qui seront compromises par la charge utile. Par exemple :
- Contenu de la charge utile.
- Taux de compromission agrégés et anonymisés d’autres simulations.
- Métadonnées de charge utile.
LA PCR vous permet de comparer les taux de clics prédits et réels pour vos simulations d’hameçonnage. Vous pouvez également utiliser ces données pour voir les performances de votre organization par rapport aux résultats prédits.
Les informations DEP pour une charge utile sont disponibles partout où vous affichez et sélectionnez des charges utiles, et dans les rapports et insights suivants :
- Impact du comportement sur le taux de compromission carte
- Onglet Efficacité de l’entraînement pour le rapport de simulation d’attaque
Conseil
Le simulateur d’attaque utilise des liens fiables dans Defender for Office 365 pour suivre en toute sécurité les données de clic pour l’URL dans le message de charge utile envoyé aux destinataires ciblés d’une campagne de hameçonnage, même si le paramètre Suivre les clics de l’utilisateur dans les stratégies Liens fiables est désactivé.
Entraînement sans astuces
Les simulations de hameçonnage traditionnelles présentent aux utilisateurs des messages suspects et les objectifs suivants :
- Faites en sorte que les utilisateurs signalent le message comme suspect.
- Fournir une formation après que les utilisateurs cliquent sur ou lancent la charge utile malveillante simulée et abandonnent leurs informations d’identification.
Toutefois, parfois, vous ne souhaitez pas attendre que les utilisateurs prennent des actions correctes ou incorrectes avant de leur donner une formation. Exercice de simulation d’attaque fournit les fonctionnalités suivantes pour ignorer l’attente et passer directement à l’entraînement :
Campagnes de formation : une campagne de formation est une affectation de formation uniquement pour les utilisateurs ciblés. Vous pouvez attribuer directement une formation sans mettre les utilisateurs à l’épreuve d’une simulation. Les campagnes de formation facilitent l’exécution de sessions d’apprentissage telles que des formations mensuelles de sensibilisation à la cybersécurité. Pour plus d’informations, consultez Campagnes de formation dans Exercice de simulation d’attaque.
Conseil
Les modules de formation sont utilisés dans les campagnes de formation, mais vous pouvez également utiliser des modules de formation lorsque vous attribuez une formation dans des simulations régulières.
Guides pratiques dans les simulations : les simulations basées sur la technique d’ingénierie sociale guide pratique ne tentent pas de tester les utilisateurs. Un guide pratique est une expérience d’apprentissage légère que les utilisateurs peuvent afficher directement dans leur boîte de réception. Par exemple, les charges utiles de guide pratique intégrées suivantes sont disponibles, et vous pouvez créer les vôtres (y compris la copie et la personnalisation d’une charge utile existante) :
- Guide pédagogique : Comment signaler les messages d’hameçonnage
- Guide d’enseignement : Comment reconnaître et signaler les messages d’hameçonnage QR
Conseil
Exercice de simulation d’attaque fournit les options de formation intégrées suivantes pour les attaques basées sur le code QR :
- Modules de formation :
- Codes QR numériques malveillants
- Codes QR imprimés malveillants
- Guides pratiques dans les simulations : Guide d’enseignement : Comment reconnaître et signaler les messages d’hameçonnage QR