Une simulation de phishing constitue un excellent moyen d’évaluer la sensibilisation de vos utilisateurs à la cybersécurité. Mais que se passe-t-il une fois cette simulation effectuée ? D’après le rapport 2020 de Verizon consacré aux violations de données, le taux de clics augmente et le taux de signalement diminue à mesure que la date de la dernière formation s’éloigne.
Limites des simulations de phishing
Plusieurs raisons expliquent pourquoi les utilisateurs prêtent moins attention au phishing et signalent moins les emails malveillants après une simulation. Tout d’abord, une simulation de phishing est généralement basée sur un modèle : totalement artificiel, elle n’a rien d’un véritable email de phishing. Par ailleurs, les simulations sont souvent suffisamment génériques pour pouvoir être envoyées à de nombreux utilisateurs en même temps.
Ainsi, elles peuvent ne pas correspondre à la réalité quotidienne des utilisateurs et donc ne pas résister à l’assaut du temps.
Importance de la contextualisation de la formation
Le Journal of Cybersecurity a publié en 2020 un rapport examinant l’efficacité des formations au phishing et notamment des simulations de phishing standard. Les auteurs de Categorizing human phishing difficulty: a Phish Scale révèlent que les simulations ne s’inscrivant pas dans le contexte de l’utilisateur entraînent un taux de clics limité.
Cela n’a rien de surprenant : les utilisateurs ne réagissent que peu aux emails sans intérêt pour eux ou venant de marques ou fournisseurs avec lesquels ils n’interagissent pas habituellement. Il en résulte un taux de clics faible qui peut donner aux entreprises un faux sentiment de sécurité et même leur faire croire que la formation a été efficace.
Le rapport mentionne également les points suivants concernant les véritables emails de phishing : « Les taux de clics dépendent de la pertinence contextuelle des emails. Les emails hautement pertinents entraînent une explosion de ces taux, même après des années de formation. »
Conclusion : plus l’email est ciblé, plus l’attaque a de chances de réussir. Le contexte constitue donc un point essentiel de la formation. Les simulations qui n’en tiennent pas compte ne généreront certes que peu de clics, mais ne permettront pas non plus aux utilisateurs de progresser.
[Article connexe] Attaques de phishing : Des menaces sophistiquées qui passent entre les mailles du filet
Formation continue : une nécessité
L’utilisateur moyen n’est pas expert en informatique ou sécurité. Pour lui, la cybersécurité n’est peut-être rien de plus qu’une formation obligatoire à suivre une ou deux fois par an, voire pas du tout. Pour ces utilisateurs vulnérables, un test de phishing envoyé au hasard ne suffit pas.
Avec une formation continue, il leur est plus facile de garder la cybersécurité à l’esprit à tout moment. De nombreuses plateformes permettent aux administrateurs de programmer et même d’automatiser un calendrier de formation. Il s’agit d’un moyen efficace pour maintenir la régularité de cette activité.
Les formations programmées ne tiennent toutefois pas compte du fait que beaucoup d’eau peut couler sous les ponts entre deux simulations. En fonction de la qualité de la solution de sécurité de l'email mise en place par l’entreprise, l’utilisateur pourrait très bien recevoir cinq emails de phishing dans ce délai. Si la simulation n’était pas contextuellement pertinente, elle a par ailleurs pu n’avoir aucun effet.
De plus, certaines de ces plateformes de formation au phishing sont coûteuses, un véritable repoussoir pour certaines petites entreprises. Elles peuvent également mobiliser beaucoup de temps et de ressources, ce qui bloquera cette fois-ci de nombreux MSP.
Il faut plutôt aux entreprises une solution à la fois contextualisée et active en continu, qui se déclenche lorsque l’utilisateur s’y attend le moins, mais en a le plus besoin, à savoir lorsqu’il clique sur un email de phishing.
Combiner formation continue et formation contextuelle
La formation continue doit être dispensée à la fois selon un calendrier défini, mais aussi en fonction du comportement de l’utilisateur. Certains sont plus facilement victimes d’attaques de phishing que d’autres, mais chacun se fait piéger un jour ou l’autre. C’est à ce moment clé que les utilisateurs doivent immédiatement bénéficier d’une formation supplémentaire.
Dans le meilleur des cas, l’incident ou la fuite sont découverts immédiatement. Toutefois, dans le cas du phishing, de nombreuses entreprises ne se rendent compte de la situation que bien plus tard. D’après Verizon, en 2019, 56 % des violations de données n’ont été découvertes que des mois après..
La découverte d’un incident découle de l’un des deux événements suivants : le service informatique détecte qu’un utilisateur a reçu un email de phishing ou un utilisateur signale qu’il a reçu un email de phishing. Malheureusement, le service informatique n’a bien souvent aucun moyen de savoir si un email de phishing est passé entre les mailles de son filtre si l’utilisateur ne le signale pas. D’après Verizon, seuls 24 % des entreprises disposaient de procédures de signalement des emails de phishing en 2020, et aucun secteur n’est parvenu à atteindre un taux de signalement de 50 %.
Pour relever ces défis et combiner formation continue et contextuelle, Vade a mis au point Vade Threat Coach, une fonction de sensibilisation au phishing automatisée pour Vade for Microsoft 365. Vade Threat Coach se base sur deux technologies automatisées : Auto-Remediate, qui supprime les menaces une fois les emails remis, et la boucle de rétroaction de Vade, une fonction intégrée de signalement.
Auto-Remediate et la boucle de rétroaction fournissent à Vade Threat Coach des échantillons d’emails de phishing interceptés par Vade. Lorsque la fonction Auto-Remediate détecte un email de phishing, tout utilisateur ayant interagi avec cet email précédemment est invité à participer à la formation de Threat Coach.
L’utilisateur est alors guidé tout au long d’une série de questions interactives qui permettent d’évaluer sa capacité à reconnaître une tentative de phishing dans différents contextes. Les échantillons de phishing qu’il voit dans le quiz dépendent de l’email avec lequel il a interagi. Par exemple, s’il a cliqué sur un email semblant provenir de Microsoft, le quiz se concentrera sur le phishing visant cette marque.
À la différence des autres plateformes de formation au phishing, la fonction Vade Threat Coach est entièrement automatisée : il n’est pas nécessaire de créer des modèles ou de programmer des sessions de formation. Pour les MSP, il s’agit d’un moyen simple de proposer un service de cybersécurité à valeur ajoutée sans encourir de frais supplémentaires.
Vos utilisateurs continuent de cliquer sur des emails de phishing ?
Découvrez comment Vade propose à chaque utilisateur une sensibilisation personnalisée et automatisée au phishing, et ce aux moments critiques.
