Cet article présente le fonctionnement des scénarios de phishing, leur rôle dans l’évaluation des collaborateurs, ainsi que les actions possibles dans la bibliothèque de scénarios.

1 - Objectifs

Apprendre à filtrer la liste des scénarios
Sélectionner ou créer des scénarios adaptés au contexte de l’entreprise.

2 - Prérequis

Avoir les droits d'action sur les scénarios (Rôle Admin)
Accès à la rubrique Phishing Simulation.

3 - Comprendre ce qu’est un scénario

3.1 - Définir un scénario

Un scénario sert à évaluer un collaborateur jusqu’à la compromission.
La compromission survient lorsque l’utilisateur saisit son identifiant et son mot de passe dans une fausse landing page.

3.2 - Identifier les deux éléments d’un scénario

Un scénario se compose de :

Un email de phishing contenant un lien piégé.
Une landing page visant à collecter les identifiants de l’utilisateur.

3.3 - Utiliser la bibliothèque de scénarios

La liste des scénarios forme une bibliothèque de simulations réalistes.
Le choix du scénario est essentiel : plus il est crédible et ciblé, plus il sera efficace
Pour accéder à la bibliothèque, cliquer sur Scénarios dans la rubrique Phishing Simulation, dans le menu de navigation à gauche.

Interface Arsen – Onglet Scénarios affichant un filtre actif avec recherche par nom vide et liste de scénarios AI-Powered dans la bibliothèque.

4 - Filtrer et rechercher un scénario

4.1 - Utiliser les filtres

Filtrer les scénarios pour afficher ceux correspondant à votre environnement interne.

Les filtres disponibles dépendent notamment :

de la langue,
du niveau de difficulté,

Recherche d’un scénario via champ de recherche

de la marque qui est utilisé comme prétexte

Recherche d’un scénario par nom dans le panneau latéral gauche, champ de recherche mis en surbrillance dans la section Vendors.

4.2 - Rechercher un scénario par son prétexte

Utiliser le champ de recherche pour trouver une marque spécifique.

4.3 - Accéder aux scénarios personnalisés et favoris

Cliquer sur My Scenarios pour voir vos scénarios dupliqués et édités.
Cliquer sur l’étoile située en haut à droite d’une carte d'un scénario pour l’ajouter aux favoris. Ces scénarios remontent automatiquement en tête de liste.

Recherche d’un scénario via la rubrique My Scenrios

5 - Connaître les actions possibles sur un scénario

Il existe 5 actions principales dans la librairie :

Ajouter aux favoris en cliquant sur l’étoile située en haut à droite.
Prévisualiser l’email du scénario.
Prévisualiser la landing page utilisée pour capturer les identifiants.
Prévisualiser la page de training, affichée après compromission dans les campagnes d’entraînement.
Personnaliser le scénario en cliquant sur Duplicate.

Arsen – Sélection d’un scénario dans la bibliothèque avec menus d’actions visibles (prévisualiser, dupliquer, éditer) sur une carte de scénario.

6 - Créer un nouveau scénario

Si vous maîtrisez le HTML/CSS :

Rendez-vous dans My Scenarios.
Cliquer sur Create a new scenario pour créer :
- l’email,
- la landing page,
- tous les éléments constitutifs d’un scénario.

Arsen – Vue My Scenarios avec bouton ‘Create a new scenario’ mis en évidence dans le coin supérieur droit.

7 - Appréhender le niveau de difficulté d’un scénario

7.1 - Comprendre les niveaux disponibles

Les scénarios sont classés selon 3 niveaux : Easy, Medium, Hard.

Arsen – Écran de création d’un scénario de phishing avec champ de nom du scénario rempli et difficulté définie sur Medium.

7.2 - Critères influençant la difficulté

La difficulté d'un scénario est déclarative. Néanmoins, plusieurs éléments sont à prendre en compte pour adapter la difficulté d'un scénario :

Nom de domaine de l’email plus ou moins crédible.
URL de la landing page, plus ou moins évidente à identifier.
Présence ou absence de fautes d’orthographe.
Connexion suspecte simulée depuis un pays étranger.
Ressemblance avec un outil interne utilisé quotidiennement.
Objet du scénario : un message urgent accroît la pression et la probabilité de compromission.

Liste des scénarios