PhishTrainer - Aide

1.1. Qu'est-ce que PhishTrainer et pourquoi l'utiliser ?

PhishTrainer est une plateforme conçue pour renforcer la cyber-résilience de votre organisation. Au cœur de sa mission se trouve la sensibilisation et la formation de vos collaborateurs face aux menaces de phishing (hameçonnage), une technique d'attaque couramment utilisée par les cybercriminels pour dérober des informations sensibles.

L'outil simule des attaques de phishing contrôlées en envoyant des emails factices, mais réalistes, à vos employés. En observant leurs réactions (ouverture de l'email, clic sur un lien, soumission d'informations sur une page factice), PhishTrainer vous permet de :

• Évaluer le niveau de vigilance de vos équipes face à ce type de menace.
• Identifier les besoins de formation spécifiques au sein de votre organisation.
• Mesurer l'efficacité de vos programmes de sensibilisation à la cybersécurité sur la durée.
• Réduire les risques liés aux erreurs humaines, qui sont souvent à l'origine des brèches de sécurité.

Utiliser PhishTrainer, c'est donc investir dans une démarche proactive pour éduquer vos employés, les transformer en une première ligne de défense active et, in fine, protéger les actifs informationnels de votre entreprise.

1.2. Concepts Clés et Terminologie du Phishing

Pour utiliser PhishTrainer efficacement, il est utile de comprendre quelques termes fondamentaux :

• Phishing (Hameçonnage) : Technique frauduleuse visant à obtenir des informations confidentielles (identifiants, mots de passe, informations bancaires) en se faisant passer pour une entité de confiance par email, messagerie instantanée ou autre moyen électronique.
• Simulation de Phishing : Envoi contrôlé d'emails de phishing factices dans un but éducatif et d'évaluation, sans risque réel pour les destinataires ou l'organisation.
• Sensibilisation : Processus d'information et de formation des employés pour les aider à reconnaître les menaces et à adopter les bons comportements.
• Cible : Employé ou collaborateur désigné pour recevoir un email de simulation dans le cadre d'une campagne.
• Groupe (de cibles) : Ensemble de cibles regroupées (par département, fonction, etc.) pour une campagne spécifique.
• Email de Phishing (template) : Modèle d'email factice utilisé pour la simulation.
• Page de Destination : Page web sur laquelle une cible est redirigée si elle clique sur un lien dans un email de simulation. Elle peut être éducative ou simuler une page de connexion.
• Campagne : Opération planifiée d'envoi d'emails de simulation à un ou plusieurs groupes de cibles, utilisant un scénario (email + page de destination) défini.
• Taux de clics : Pourcentage de cibles ayant cliqué sur un lien dans l'email de simulation. C'est un indicateur clé de la vulnérabilité.

1.3. Nos Engagements : Architecture "Chiffrement côté client" et Hébergement en Suisse

La confiance et la sécurité de vos données sont au cœur de nos préoccupations. PhishTrainer s'appuie sur des engagements forts :

• Architecture "Chiffrement côté client" : Ce produit est compatible avec ce principe de sécurité avancé. Pour les clients qui choisissent cette option, cela signifie que les données potentiellement sensibles issues des simulations (par exemple, si des informations sont saisies sur des formulaires factices, le nom, prénom et email des cibles) sont chiffrées de telle manière que vous seul, en tant que client, possédez la clé de déchiffrage. PhishTrainer n'a pas accès à ces données en clair, garantissant une confidentialité maximale.
• Développement et Hébergement en Suisse : L'outil est entièrement développé à Neuchâtel, en Suisse. De plus, toutes les données que vous confiez à PhishTrainer sont stockées exclusivement sur des serveurs situés en Suisse. Cela vous assure de bénéficier d'un cadre légal et réglementaire strict en matière de protection des données.

1.4. À qui s'adresse PhishTrainer ?

PhishTrainer est conçu pour les organisations de toutes tailles souhaitant améliorer leur posture de sécurité. Typiquement, les utilisateurs de PhishTrainer au sein d'une entreprise sont :

• Les responsables de la sécurité des systèmes d'information (RSSI / CISO) : Pour évaluer les risques, justifier les investissements en sécurité et suivre l'amélioration des comportements.
• Les équipes IT et sécurité : Pour mener les campagnes, analyser les résultats techniques et adapter les mesures de protection.
• Les départements des ressources humaines (RH) et de formation : Pour intégrer la sensibilisation au phishing dans les programmes de formation des employés et suivre leur progression.
• La direction : Pour obtenir une vision claire du niveau de risque lié au phishing et de l'efficacité des actions entreprises.

1.5. Aperçu de l'Interface Principale

L'interface de PhishTrainer est structurée pour vous offrir une navigation intuitive et un accès rapide aux fonctionnalités essentielles. Bien que les détails puissent évoluer, vous trouverez généralement :

• Un tableau de bord (Dashboard) : Affichant une synthèse des activités récentes, les statistiques clés de vos dernières campagnes et des raccourcis vers les actions courantes.
• Une section "Campagnes" : Pour créer, gérer, lancer et suivre l'état de vos simulations de phishing.
• Une section "Groupes et cibles" : Pour gérer vos listes d'employés (cibles), les organiser en groupes et importer de nouvelles cibles.
• Une section "Email de Phishing" : Pour accéder et gérer vos templates d'emails de phishing.
• Une section "Pages de destination" : Pour accéder et gérer vos de pages de destination.
• Une section "Résultats" ou "Rapports" : Pour analyser en détail les performances de vos campagnes et l'activité de chaque cible.
• Une section "Administration" : Pour gérer les réglages de votre compte, les profils d'envoi, les utilisateurs de la plateforme, et les fonctionnalités spécifiques comme les webhooks ou la configuration IMAP.

Nous vous encourageons à explorer ces différentes sections pour vous familiariser avec l'ensemble des possibilités offertes par PhishTrainer.

2.1. Création de Compte et Première Connexion

Avant de pouvoir lancer des simulations, vous devez disposer d'un compte PhishTrainer que seul, pour des questions de sécurités, est ouvert par le service bexxo.

Une fois vos identifiants obtenus :

1. Accédez à l'URL de connexion de la plateforme PhishTrainer.
2. Saisissez vos identifiants dans les champs prévus à cet effet.
3. Lors de votre première connexion, il est possible que vous soyez invité à saisir votre clé principale de chiffrement si vous avez optez à l'architecture "Chiffrement coté client".

Vous accéderez ensuite au tableau de bord principal de l'application, point de départ de vos activités sur PhishTrainer.

2.2. Configuration de votre Profil Utilisateur

Chaque utilisateur de PhishTrainer possède un profil personnel. Il est recommandé de vérifier et de compléter votre profil après votre première connexion. Cette section vous permet généralement de :

• Modifier vos informations personnelles.
• Changer votre mot de passe pour des raisons de sécurité.

Pour accéder à votre profil, recherchez l'icon qui se trouve en haut a droite de chaque page.

2.3. Gestion des Utilisateurs de l'Organisation (incluant rôles et permissions)

PhishTrainer est conçu pour une utilisation collaborative. Si vous disposez des droits d'administration, vous pouvez gérer les accès des différents membres de votre organisation à la plateforme.

Ajouter de nouveaux utilisateurs :

Pour inviter un nouveau collaborateur à utiliser PhishTrainer, vous devrez fournir son adresse email professionnelle. Un élément crucial lors de la création d'un utilisateur est l'attribution d'un rôle. Les rôles ("Administrateur", "Utilisateur", "Lecteur") définissent les permissions de l'utilisateur, c'est-à-dire les actions qu'il sera autorisé à effectuer dans l'application (créer des campagnes, gérer des cibles, voir les rapports, etc.).

Lors de la création, des options de sécurité peuvent être disponibles, comme :

• Forcer l'utilisateur à définir un nouveau mot de passe lors de sa première connexion.
• Créer le compte en état "verrouillé" initialement.

Gérer les utilisateurs existants :

La section de gestion des utilisateurs vous permet également de modifier les informations ou le rôle d'un utilisateur existant, de réinitialiser son mot de passe (si vous êtes administrateur), ou de désactiver voire supprimer son compte s'il ne fait plus partie de l'organisation ou n'a plus besoin d'accéder à PhishTrainer.

Une gestion rigoureuse des utilisateurs et de leurs droits est un gage de sécurité et d'efficacité dans l'utilisation de la plateforme.

3.1. Gestion des Groupes et des Cibles

Les "cibles" sont les personnes (généralement vos employés) que vous souhaitez sensibiliser via vos simulations. Pour organiser ces cibles, PhishTrainer utilise un système de "groupes". Un groupe peut représenter un département, une localisation, un niveau de séniorité, ou tout autre critère pertinent pour vos campagnes.

Création d'un groupe :
La première étape consiste à créer un groupe, en lui donnant généralement un Nom descriptif pour l'identifier facilement (par exemple, "Service Comptabilité" ou "Nouveaux Arrivants Q2").

Ajout de cibles :
Une fois un groupe créé, vous pouvez y ajouter des cibles de deux manières principales :

• Manuellement : Pour chaque cible, vous saisirez typiquement son nom, son prénom, sa fonction, et surtout son adresse Email, indispensable pour l'envoi de la simulation. Cette méthode convient pour des ajouts ponctuels ou de petites listes.
• Par Import : Pour gagner du temps avec un grand nombre de cibles, PhishTrainer permet généralement d'importer un fichier CSV. Vous préparerez un fichier contenant les informations de vos cibles, puis l'importerez directement dans le groupe souhaité. C'est la méthode recommandée pour les listes volumineuses.

Une cible peut appartenir à plusieurs groupes, offrant une flexibilité dans la segmentation de vos campagnes.

3.2. Gestion des Emails de Phishing

L'email de phishing est le vecteur principal de votre simulation. Son contenu et son apparence sont déterminants pour le réalisme de la campagne.

Bibliothèque et Templates :
PhishTrainer met à disposition une bibliothèque d'emails de phishing prêts à l'emploi (templates). Vous pouvez les utiliser tels quels ou les dupliquer pour les adapter à vos besoins spécifiques. Ces templates couvrent divers scénarios et langues.

Création d'un email personnalisé :
Vous pouvez également créer vos propres emails de A à Z. Lors de la création, vous définirez :

• Un Nom descriptif interne pour votre modèle d'email.
• Des éléments de catégorisation comme une "Marque" simulée, une "Langue" ou des "Tags".
• Le Sujet de l'Email tel qu'il apparaîtra aux cibles.
• La Provenance (ou nom d'expéditeur affiché) pour renforcer la crédibilité.
• Le corps de l'email, grâce à des éditeurs HTML et texte brut. L'éditeur HTML permet une mise en forme riche, avec un aperçu en direct et la possibilité d'importer du code HTML. Une version texte est également cruciale pour la délivrabilité.
• Optionnellement, vous pourrez ajouter des pièces jointes factices pour simuler certains types d'attaques.

Personnalisation et Bonnes Pratiques :
Pour augmenter l'efficacité, vous pouvez personnaliser les emails avec des variables (comme le prénom de la cible) grâce à la liste déroulante. Il est crucial de suivre les bonnes pratiques : réalisme du contenu, ton adapté, absence (ou présence intentionnelle et maîtrisée) de fautes, appel à l'action clair, etc.

3.3. Gestion des Pages de Destination

La page de destination est la page web sur laquelle une cible est redirigée si elle clique sur un lien contenu dans un email de phishing simulé.

Bibliothèque et Templates :
Tout comme pour les emails, une bibliothèque de templates de pages de destination est disponible, vous permettant de choisir ou d'adapter des modèles existants (fausses pages de connexion, messages d'alerte, etc.).

Création d'une page personnalisée :
Pour créer votre propre page de destination, vous lui donnerez un Nom interne et pourrez la catégoriser (Marque, Langue, Tags). Le contenu de la page est ensuite construit à l'aide d'un éditeur HTML, vous permettant d'y insérer du texte, des images, des formulaires factices, et de contrôler son apparence grâce à un aperçu en direct ou la possibilité d'importer du code HTML.

Types de pages :

• Informative/Éducative : Affiche immédiatement un message expliquant à la cible qu'elle a cliqué sur un lien simulé et lui donne des conseils.
• Collecte de données (simulée) : Imite une page de connexion ou un formulaire pour observer si la cible tente de soumettre des informations. Il est crucial de noter que PhishTrainer est conçu pour simuler cette action, la gestion des données potentiellement saisies étant encadrée par les options de la campagne et les principes de sécurité comme l'architecture "Chiffrement Côté client".

3.4. Gestion des Profils d'Envoi SMTP

Un profil d'envoi contient les paramètres techniques (SMTP) nécessaires pour que PhishTrainer puisse expédier les emails de simulation depuis une adresse que vous contrôlez ou via des serveurs préconfigurés de bexxo.

Utilisation et création :
PhishTrainer peut proposer des profils d'envoi préexistants pour simplifier le démarrage. Vous pouvez également configurer vos propres profils SMTP pour un contrôle accru sur l'expéditeur et la délivrabilité.

Lors de la configuration d'un profil personnalisé, vous devrez renseigner :

• Un Nom pour identifier ce profil.
• Les informations du serveur SMTP : adresse du Serveur, numéro de Port.
• Les identifiants de connexion (Nom d'utilisateur et Mot de passe) si votre serveur SMTP requiert une authentification.
• Le type de connexion sécurisée (SSL/STARTTLS).
• L'adresse email de l'expéditeur et le nom qui sera affiché.
• Optionnellement, des en-têtes personnalisés peuvent être ajoutés pour des besoins techniques spécifiques.

Test du profil :
Une fois un profil configuré, il est indispensable de le tester. Une fonction de test permet d'envoyer un email d'essai pour vérifier que tous les paramètres sont corrects et que les emails peuvent être acheminés correctement.

4.1. Créer et Paramétrer une Nouvelle Campagne

La création d'une campagne consiste à assembler les différents composants que vous avez configurés et à définir les modalités de la simulation.

Le processus typique de création d'une nouvelle campagne implique les étapes suivantes :

• Nommer la campagne : Donnez un nom clair et significatif à votre campagne pour la retrouver et l'analyser facilement (par exemple, "Simulation T1 - Service Ventes - Fausse facture").
• Sélectionner les éléments :
  • Choisissez le ou les Groupes de cibles qui recevront cette simulation.
  • Sélectionnez le modèle d'Email Phishing à envoyer.
  • Associez la Page de destination sur laquelle les cibles seront redirigées.
  • Définissez le Profil d'envoi (SMTP) à utiliser pour l'expédition des emails.
• Configurer les paramètres d'envoi et de suivi :
  • Vous choississez un Nom de domaine à utiliser pour les liens de phishing, ainsi que le Format de ces liens pour plus de réalisme.
  • Une option pour rediriger vers une page spécifique de "bonnes pratiques" est disponible après une interaction.
  • Vous décidez si vous souhaitez activer le suivi du chargement des images dans l'email (utile pour estimer les taux d'ouverture).
• Définir les options de confidentialité et de collecte :
  • Choisissez si les résultats de la campagne doivent être anonymisés (les actions des cibles sont enregistrées sans que leurs noms ne soient directement visibles dans les rapports détaillés, préservant ainsi la vie privée).
  • Déterminez si les informations potentiellement saisies par les cibles sur les formulaires des pages de destination doivent être "mémorisées" (cette option doit être utilisée avec précaution et en accord avec votre politique de confidentialité et les principes de l'architecture "Chiffrement Côté client" si activée).
• Planifier le lancement :
  • Fixez la Date de lancement de votre campagne.
  • Une option d'envoi progressif peut être disponible pour étaler l'envoi des emails sur une période donnée plutôt que tous en même temps.

Avant de finaliser, une fonction importante est proposée : la possibilité d'envoyer un email de test. Cela vous permet de recevoir la simulation (sur une adresse de test que vous définissez) comme le verrait une cible, et de vérifier ainsi l'ensemble de la configuration (apparence de l'email, fonctionnement du lien, affichage de la page de destination).

4.2. Vérification, Lancement et Suivi d'une Campagne

Vérification finale :
Avant de lancer une campagne à grande échelle, prenez un moment pour relire tous les paramètres que vous avez configurés. Une erreur (un mauvais groupe, une faute dans l'email) peut compromettre les résultats ou la crédibilité de votre simulation.

Lancement :
Une fois que tout est vérifié, vous pouvez lancer la campagne. Si vous avez programmé une date de lancement, la campagne démarrera automatiquement à la date et à l'heure prévues. Si le lancement est immédiat, les emails commenceront à être envoyés peu de temps après votre validation.

Suivi des campagnes en cours :
Après le lancement, vous pourrez suivre l'état de votre campagne depuis l'interface de PhishTrainer. Vous verrez des informations sur la progression de l'envoi, et les premières statistiques commenceront à apparaître à mesure que les cibles interagissent avec les emails. Durant cette phase, vous avez parfois la possibilité de stopper une campagne si un problème est détecté.

4.3. Dupliquer une Campagne Existante

Pour gagner du temps et assurer une cohérence dans vos simulations, PhishTrainer vous permet de dupliquer une campagne existante. Cette fonctionnalité est particulièrement utile si vous souhaitez :

• Relancer une simulation similaire à intervalles réguliers (par exemple, tous les trimestres).
• Utiliser une campagne précédente comme modèle de base pour une nouvelle simulation, en ne modifiant que quelques paramètres (par exemple, changer le groupe de cibles ou l'email de phishing).
• Effectuer des tests A/B en créant deux versions d'une campagne avec une seule variation mineure.

Lorsque vous dupliquez une campagne, la plupart de ses paramètres (email, page de destination, options) sont copiés. Vous devrez définir un nouveau nom pour la campagne dupliquée et vérifier/ajuster la date de lancement et les groupes de cibles.

5.1. Consulter le Tableau de Bord et Comprendre les Statistiques Clés

PhishTrainer met à votre disposition un tableau de bord des résultats pour chaque campagne. Vous y trouverez une vue d'ensemble synthétisée par des indicateurs clés de performance qui reflètent le comportement de vos cibles :

• Emails envoyés/délivrés : Indique le nombre total d'emails qui ont été techniquement acheminés aux cibles.
• Taux d'ouverture : Pourcentage des cibles ayant ouvert l'email de simulation. Ce taux peut être estimé, par exemple, par le chargement d'une image invisible (pixel tracker) si cette option a été activée dans la campagne.
• Taux de clics : Pourcentage des cibles ayant cliqué sur au moins un lien contenu dans l'email de phishing. C'est un indicateur majeur de la vulnérabilité de vos utilisateurs face à l'hameçonnage.
• Taux de soumission de données : Si votre page de destination comprenait un formulaire factice (pour simuler une demande d'identifiants par exemple), ce taux indique le pourcentage de cibles ayant tenté de soumettre des informations.
• Taux de signalement (Report) : Si vous avez configuré la fonctionnalité de signalement par IMAP, ce taux (très positif) mesure le pourcentage de cibles ayant correctement identifié et signalé l'email de phishing à l'adresse dédiée.

Ces statistiques globales vous donnent une première évaluation de l'impact de votre campagne et du niveau de sensibilisation général.

5.2. Analyse Détaillée par Cible et Actions

Au-delà des chiffres globaux, PhishTrainer vous permet d'examiner le comportement individuel de chaque cible, à moins que l'option d'anonymisation des résultats n'ait été activée pour la campagne. Cette analyse plus fine peut révéler des schémas de comportement spécifiques.

Pour chaque cible, vous pourrez généralement voir :

• Si l'email a été ouvert.
• Si un lien a été cliqué (et parfois lequel, s'il y en avait plusieurs).
• Si des données ont été soumises sur la page de destination.
• Si l'email a été signalé comme phishing (via la fonction IMAP).
• L'heure et la date de ces actions.
• Dans certains cas, des informations techniques complémentaires comme l'adresse IP (pouvant donner une indication de localisation) ou le type de navigateur utilisé au moment du clic.

Cette vue détaillée, tout en devant respecter la confidentialité et la politique interne de votre entreprise (surtout si les résultats ne sont pas anonymisés), aide à identifier les individus ou les services qui pourraient bénéficier d'une attention ou d'une formation complémentaire.

5.3. Filtrer, Exporter les Rapports et Interpréter les Données

Pour affiner votre analyse et communiquer les résultats, PhishTrainer offre généralement des fonctionnalités supplémentaires :

• Filtrage des résultats : Vous pouvez appliquer des filtres pour vous concentrer sur des segments spécifiques de vos données, par exemple, afficher les résultats pour un groupe de cibles particulier, ou comparer les comportements selon différents critères.
• Exportation des rapports : Il est possible d'exporter les données aux formats CSV. Cela vous permet d'effectuer des analyses plus poussées avec vos propres outils, de conserver un historique, ou de préparer des présentations pour la direction ou les équipes concernées.

Interprétation des données :

L'interprétation des résultats est clé. Voici quelques pistes :

• Des taux de clics ou de soumission élevés indiquent un besoin général de renforcer la sensibilisation.
• Des différences notables entre les groupes peuvent suggérer des actions de formation ciblées.
• La comparaison des résultats de campagnes successives au fil du temps vous montre l'évolution des comportements et l'efficacité de votre programme de sensibilisation.
• Un taux de signalement élevé est un excellent signe : il montre que vos employés deviennent proactifs dans la détection des menaces.

Rappelez-vous que l'objectif principal des simulations de phishing est l'éducation et l'amélioration continue, et non la stigmatisation des employés.

6.1. Configurer et Utiliser les Webhooks

Les webhooks sont un moyen pour PhishTrainer de notifier d'autres applications en temps réel lorsqu'un événement spécifique se produit au cours d'une campagne. Par exemple, vous pourriez être informé instantanément lorsqu'une cible clique sur un lien, soumet des données ou signale un email.

Utilité des webhooks :

• Intégrer les données de PhishTrainer avec vos propres systèmes d'information (SIEM, outils de reporting, etc.).
• Déclencher des actions automatisées dans d'autres applications (par exemple, créer un ticket de support, envoyer une notification sur un canal de discussion d'équipe).
• Obtenir une visibilité en temps réel sur le déroulement de vos campagnes.

Configuration d'un webhook :

Pour configurer un webhook, vous devrez généralement :

1. Donner un Nom à votre configuration de webhook pour l'identifier.
2. Fournir l'URL de destination : c'est l'adresse de l'application externe qui recevra les notifications de PhishTrainer. Cette application doit être conçue pour accepter et traiter les données envoyées par le webhook.
3. Définir un Secret (une chaîne de caractères confidentielle) : Ce secret est utilisé pour sécuriser la communication. Il permet à votre application de destination de vérifier que les requêtes proviennent bien de PhishTrainer.
4. Activer le webhook pour qu'il commence à envoyer des notifications.

Une fois configuré, PhishTrainer enverra automatiquement des données (au format JSON) à l'URL spécifiée chaque fois que les événements que vous avez choisi de suivre se produiront.

6.2. Configurer le Signalement d'Emails par IMAP (Report IMAP)

Cette fonctionnalité avancée permet à PhishTrainer de se connecter à une boîte de réception email dédiée (via le protocole IMAP) que vous aurez mise en place. L'objectif est de détecter si vos cibles transfèrent les emails de simulation qu'elles suspectent vers cette adresse de signalement.

Si un email de simulation PhishTrainer est retrouvé dans cette boîte, cela indique que la cible a non seulement identifié la menace, mais a également suivi la procédure interne de signalement. C'est un indicateur très positif de la maturité de vos employés en matière de cybersécurité.

Configuration du Report IMAP :

Pour mettre en place cette fonctionnalité, vous devrez configurer plusieurs paramètres :

• Activer la fonctionnalité.
• Renseigner les détails de connexion à votre serveur IMAP : l'adresse du Serveur IMAP, le Port utilisé, ainsi que l'Utilisateur et le Mot de passe du compte email dédié au signalement.
• Spécifier le Dossier email à surveiller (par exemple, "INBOX" ou un dossier spécifique).
• Définir la Fréquence à laquelle PhishTrainer doit vérifier cette boîte aux lettres pour de nouveaux signalements.
• Indiquer si la connexion doit utiliser le cryptage TLS pour plus de sécurité.
• Optionnellement, vous pourriez pouvoir limiter la vérification aux emails provenant d'un domaine spécifique, ignorer les erreurs de certificat SSL (à utiliser avec prudence), ou configurer la suppression automatique des emails de signalement de campagne après leur traitement par PhishTrainer.

Le suivi des signalements via IMAP enrichit considérablement l'analyse de vos campagnes en mettant en lumière les comportements proactifs de vos employés.

7.1. Comprendre l'Architecture "Chiffrement côté client" et la Sécurité des Données

PhishTrainer accorde une importance capitale à la protection de vos informations.

Architecture "Chiffrement côté client" :
Notre produit est conçu pour être compatible avec une architecture "Chiffrement côté client". Pour les clients optant pour cette approche, cela signifie que les données potentiellement sensibles recueillies durant une simulation (par exemple, les informations qu'une cible aurait pu saisir sur un formulaire de page de destination factice, si la campagne est configurée pour les mémoriser) sont chiffrées. La particularité est que vous, le client, êtes le seul détenteur de la clé de déchiffrage. Ainsi, PhishTrainer, en tant que fournisseur de service, n'a pas la capacité technique d'accéder à ces données spécifiques en clair. Ce mécanisme assure un niveau de confidentialité et de contrôle maximal sur vos informations les plus sensibles.

Développement et Hébergement en Suisse :
PhishTrainer est une solution développée avec soin à Neuchâtel, en Suisse. Toutes les données que vous nous confiez, y compris les configurations de campagnes, les listes de cibles et les résultats agrégés, sont hébergées exclusivement sur des serveurs situés sur le territoire suisse. Vous bénéficiez ainsi de la rigueur des lois suisses en matière de protection des données (LPD) et d'un engagement fort envers la souveraineté de vos informations.

Des mesures de sécurité standard, telles que le chiffrement des communications (HTTPS) et la protection contre les accès non autorisés, sont également mises en œuvre pour protéger l'intégrité et la confidentialité de l'ensemble de la plateforme.

7.2. Recommandations pour une Utilisation Éthique et Responsable de PhishTrainer

Les simulations de phishing sont un outil pédagogique puissant, mais leur utilisation doit s'inscrire dans un cadre éthique et respectueux de vos collaborateurs.

• Communication et Transparence :
  • Il est fortement recommandé d'informer vos employés (et/ou leurs instances représentatives) de la mise en place d'un programme de simulation de phishing. Expliquez clairement les objectifs : améliorer la sécurité collective, former et non piéger ou punir.
  • Il n'est généralement pas nécessaire (ni souhaitable) de communiquer les dates et heures exactes des campagnes, mais la connaissance du programme lui-même est importante.
• Objectif Pédagogique Avant Tout :
  • Concevez des simulations dont le but premier est d'enseigner. Les scénarios doivent être réalistes mais adaptés au niveau de maturité de vos cibles.
  • Assurez un suivi après chaque campagne, en fournissant des explications, des conseils et des ressources de formation complémentaires à ceux qui ont cliqué ou soumis des informations.
• Respect de la Vie Privée et Anonymisation :
  • Soyez conscient de la sensibilité des données, même simulées. Utilisez l'option d'anonymisation des résultats des campagnes si vous souhaitez vous concentrer sur les tendances globales plutôt que sur les performances individuelles, ou si cela correspond mieux à la culture de votre entreprise.
  • Si votre campagne est configurée pour "mémoriser" les données saisies sur les formulaires (même sous architecture "Chiffrement côté client"), assurez-vous d'avoir une politique interne claire concernant l'accès, la durée de conservation et la suppression de ces informations.
• Proportionnalité et Choix des Scénarios :
  • Évitez les scénarios de phishing qui pourraient être perçus comme excessivement stressants, anxiogènes, discriminatoires ou qui touchent à des sujets personnels très sensibles, à moins d'une mûre réflexion et d'une validation interne stricte.
  • Adaptez la complexité des simulations. Commencez peut-être par des scénarios plus évidents, puis augmentez progressivement la difficulté.
• Conformité Légale :
  • Assurez-vous que votre programme de simulation de phishing respecte les réglementations en vigueur dans votre pays ou région concernant la protection des données personnelles des employés et la surveillance au travail (par exemple, LPD en Suisse, RGPD en Europe).

Une utilisation responsable de PhishTrainer renforce la confiance de vos employés et l'efficacité de votre programme de sensibilisation à la cybersécurité.

8.1. Dépannage des Problèmes Courants

Voici quelques-uns des problèmes les plus souvent rencontrés et des pistes pour les résoudre :

• Emails non délivrés ou marqués comme Spam :
  • Vérifiez attentivement la configuration de votre profil d'envoi (SMTP).
  • Assurez-vous que les domaines d'envoi que vous utilisez sont correctement authentifiés (configurations SPF, DKIM, DMARC sur vos serveurs DNS). Cela améliore grandement la délivrabilité.
  • Examinez le contenu de votre email de simulation ; certains mots-clés ou types de pièces jointes peuvent déclencher les filtres anti-spam.
  • Ajouter l'adresse Email dans votre liste white-liste.
  • Vérifiez si vos adresses IP d'envoi ne sont pas sur des listes noires (blacklists).
• Erreurs de Configuration SMTP :
  • Contrôlez scrupuleusement les informations saisies : adresse du serveur SMTP, numéro de port, nom d'utilisateur, mot de passe et type de sécurité (SSL/TLS). Une simple faute de frappe peut causer une erreur.
  • Utilisez systématiquement la fonction de test du profil d'envoi proposée par PhishTrainer pour valider votre configuration avant de lancer une campagne.
• Page de Destination non accessible ou incorrecte :
  • Vérifiez le lien généré dans l'email de simulation.
  • Assurez-vous que la page de destination est correctement configurée et active dans PhishTrainer.
  • Écartez les problèmes de réseau ou de DNS du côté de la cible (plus rare, mais possible).
• Problèmes de Connexion au Compte PhishTrainer :
  • Vérifiez que vous utilisez les bons identifiants (adresse email et mot de passe). Attention à la casse (majuscules/minuscules).
  • Utilisez la fonction "Mot de passe oublié" si disponible sur la page de connexion.
  • Assurez-vous que votre compte utilisateur n'est pas verrouillé par un administrateur.

Contacter le Support PhishTrainer :
Si vous ne parvenez pas à résoudre un problème malgré ces vérifications, ou si vous avez besoin d'une assistance plus spécifique, n'hésitez pas à contacter notre équipe de support. Vous pouvez généralement nous joindre :

• Via le formulaire de contact sur notre site web officiel https://www.bexxo.ch.
• Par email à une adresse de type : info@bexxo.ch.

8.2. Foire Aux Questions (FAQ)

Nous avons compilé les questions les plus fréquemment posées par nos utilisateurs. Consulter cette section peut vous apporter rapidement une réponse.