Cyber Guru Phishing permet de détecter et d’enregistrer les signalements effectués par les utilisateurs (Cyber Defenders) qui identifient correctement une attaque simulée et la transmettent au service concerné.
Pour que ces signalements soient reconnus et valorisés par la plateforme, il est essentiel de configurer correctement le flux de transfert, afin de tracer ce que l’on appelle les "Attaques Signalées".
Un signalement n’est pas enregistré si l’utilisateur clique d’abord sur le lien de l’email et effectue la signalisation seulement après.
Si votre organisation utilise Google Workspace ou Microsoft 365, nous vous invitons à consulter les sections spécifiques pour une configuration adaptée et optimisée du flux de signalement.
Guide de configuration du signalement MICROSOFT 365
Guide de configuration du signalement GOOGLE WORKSPACE
Dans tous les autres cas, ce guide présente les lignes directrices générales pour l’acheminement des signalements vers Cyber Guru, à utiliser comme référence pour configurer correctement les systèmes de l’entreprise.
Il est essentiel que le flux de signalement soit filtré de manière à n’envoyer à Cyber Guru que les messages de phishing simulés générés et envoyés par la plateforme directement à l’utilisateur, en excluant les autres messages non pertinents ou de phishing réel. Les messages ne provenant pas de Cyber Guru peuvent être bloqués ou redirigés vers le SOC/CERT du client pour une analyse approfondie en matière de cybersécurité.
Conditions pour transférer le signalement à Cyber Guru
Pour qu’un signalement soit enregistré sur la plateforme Cyber Guru, les conditions suivantes doivent être remplies :
- Un email doit être envoyé pour chaque signalement de chaque utilisateur à l’adresse : defenders@cyberguru.report
- L’email faisant l’objet du signalement peut être transférée directement dans le corps du message (message in-body) ou envoyée en pièce jointe.
- Le signalement, quelle que soit la méthode choisie (in-body ou pièce jointe), doit contenir au moins la partie "?rid=" suivie de l’identifiant RID, un code alphanumérique unique pour chaque campagne, utilisateur et client.
Exemples de signalements correctement enregistrés
Voici quelques scénarios à titre d’exemple, dans lesquels le système enregistre correctement les signalements reçus :
- L’utilisateur transfère l’email de phishing au SOC/CERT qui la transfère ensuite à defenders@cyberguru.report
- L’utilisateur transfère l’email de phishing à un système de ticketing, qui l’envoie ensuite à defenders@cyberguru.report
Exemples de signalements NON valides
Voici quelques exemples où le système n’enregistre pas correctement les signalements reçus :
- Une liste d’adresses email est envoyée
- Une liste de noms d’utilisateur est envoyée
- Une liste de rid est envoyée
- Une adresse email est envoyée
- Un nom d’utilisateur est envoyé
- Un code RID est envoyé sans la particule "?rid="
- Un ensemble d’emails de plusieurs utilisateurs est envoyé
Procédure pour l’acheminement automatique des emails signalés
Chaque email envoyée par la plateforme peut être identifiée grâce aux éléments suivants :
-
Signature DKIM sur le domaine de simulation utilisé pour la campagne — vérifier que la signature DKIM est valide (
dkim=pass) et que le domaine signataire (d=) correspond à un domaine de simulation Cyber Guru autorisé. Disponible au moment de la livraison. - Adresse IP d’origine — Sauf accord contraire : 85.235.135.191. Vérifiable au moment de la livraison.
-
Paramètre
?rid=dans les URL — identifiant unique pour la campagne, l’utilisateur et le client. Présent dans le corps du message, disponible également après le transfert.
Acheminement du signalement
À la livraison : si le système de messagerie le permet, configurez une règle de flux de messagerie qui vérifie la signature DKIM pour un domaine de simulation Cyber Guru autorisé et applique un marquage au message, utilisable ensuite pour le routage du signalement.
Au moment du signalement : pour le routage automatique, vérifiez que :
- le domaine du lien appartient à un domaine de simulation Cyber Guru attendu
- le lien contient le paramètre
?rid= - la valeur RID est au format généré par la plateforme
Les messages qui remplissent ces critères doivent être transférés à defenders@cyberguru.report. Tous les autres messages signalés doivent être traités selon les procédures de sécurité de l’organisation (SOC/CERT).