Véritable manipulation psychologique, le phishing finit invariablement par tromper les utilisateurs. Les hackers affûtant leurs techniques en permanence, les filtres de messagerie peuvent eux aussi être dupés. Cela signifie que même s’il n’existe aucune technologie capable à elle seule d’intercepter 100 % des emails de phishing ou d’empêcher les utilisateurs de cliquer dessus, une combinaison des stratégies clés suivantes constitue le meilleur moyen de bloquer ces emails :
Technologie anti-phishing basée sur l’IA
La plupart des technologies anti-phishing se basent sur l’empreinte, un identifiant unique associé à un email et calculé à partir de son en-tête, son pied de page, son objet ou son corps de message. Lorsque le filtre de messagerie reconnaît une empreinte, il bloque l’email correspondant. Mais il suffit au hacker d’altérer légèrement l’un de ces éléments d’identification pour que le filtre ne reconnaisse plus l’email de phishing et le laisse passer.
Les algorithmes d’apprentissage automatique offrent une solution plus intelligente que l’analyse classique des empreintes, car ils reconnaissent également les comportements. L’analyse comportementale peut ainsi intercepter les emails de phishing en repérant des techniques d’obfuscation et de contournement qui restent invisibles pour les filtres de messagerie basés sur l’empreinte. Parmi ces techniques, les redirections et raccourcissements d’URL sont fréquemment utilisés, tout comme l’empoisonnement bayésien, une technique consistant à insérer des données dans le code pour perturber les filtres.
Le Computer Vision, une branche de l’apprentissage automatique, analyse les images plutôt que le texte. Cette évolution récente de la technologie anti-phishing est née en réponse à l’apparition d’images modifiées dans les emails de phishing. Les logos des marques sont presque universellement utilisés dans les emails de phishing, mais ils ont aussi une empreinte. Les hackers s’appuient donc sur des techniques de distorsion, notamment des modifications de la couleur et de la géométrie, pour contourner le problème et tromper les filtres. Les algorithmes de Computer Vision sont également capables de reconnaître et d’analyser les QR Codes, souvent utilisés dans les emails de sextorsion.
Formation de sensibilisation au phishing et renforcement
En dépit d’une sensibilisation au phishing toujours plus forte, les emails de phishing continuent de tromper les utilisateurs et de coûter de l’argent aux entreprises. Cela ne veut pas dire que cette formation n’est pas efficace. Au contraire, elle est même très efficace. D’après le rapport 2019 de Verizon consacré aux violations de données, le taux de clics sur les emails de phishing n’était plus que de 3 % en 2018.
Verizon s’est également penché sur le taux de clics et de signalements des utilisateurs dans des simulations. Au début de la formation, les utilisateurs sont susceptibles de cliquer sur des emails malveillants (8 %). Pourtant, après une heure de formation, ce taux est réduit à 2 %. Le taux de signalements des emails de phishing, point essentiel de la lutte contre le phishing, augmente quant à lui considérablement dès la première heure de formation.
En dépit de la réduction du taux de clics global, les données révèlent que la maîtrise du phishing est liée au temps écoulé depuis la formation. Une formation annuelle, qui constitue la norme pour la plupart des organisations, n’est clairement pas suffisante. Les simulations doivent s’accompagner d’une formation continue qui renforce les bonnes pratiques et se montre aussi réaliste que marquante.
Les simulations de phishing sont factices, mais la formation contextuelle permet de les lier à une attaque bien réelle. À la différence d’une simulation, la formation n’a rien d’aléatoire et s’adapte à l’expérience de l’utilisateur : si un utilisateur clique sur un email de phishing PayPal ou Microsoft, il reçoit une alerte l’invitant à suivre une formation basée sur des emails empruntant l’identité de ces deux entreprises. Le résultat ? Une formation plus marquante, car l’utilisateur a été aux premières loges de l’attaque.
Signalement et boucles de rétroaction
D’après Verizon toujours, seuls 17 % des emails de phishing sont signalés aux services informatiques des entreprises. Ce chiffre est bas et est peut-être lié à une atténuation progressive de l’efficacité des formations au fil du temps. Mais il peut aussi témoigner d’un manque général de compréhension du processus de signalement d’un email de phishing.
En signalant un tel email, un utilisateur fait bien plus qu’alerter le service informatique de son existence ou de l’arrivée d’une vague potentielle. Un email de phishing qui passe au travers d’un filtre est un faux négatif, une erreur qui doit être corrigée. Généralement, le service informatique envoie cet email au Security Operations Center (SOC) du fournisseur de sa solution de sécurité de l'email. Le SOC utilisera alors ces informations pour entraîner ses algorithmes et renforcer l’efficacité du filtre. Si l’utilisateur supprime l’email, aucune de ces actions ne peut intervenir.
Le signalement des emails est donc essentiel, mais il est tout aussi important de fournir un outil permettant de le faire. Pour inciter les utilisateurs à signaler les emails et non à les supprimer ou les ignorer, proposez-leur une boucle de rétroaction intégrée à votre client de messagerie.
Les utilisateurs de Vade for Microsoft 365 peuvent signaler les menaces par email à notre SOC directement en cliquant sur les boutons Courrier indésirable et Phishing dans Outlook. Cette boucle de rétroaction constitue une solution simple, en un seul clic, pour signaler sans délai les menaces. Le délai entre la remise de l’email et la neutralisation de la menace est ainsi réduit, les utilisateurs sont plus enclins à signaler les emails et le filtre de messagerie est plus efficace.
