Les entreprises cherchent constamment des moyens pour renforcer les comptences de leurs employs face aux menaces en ligne. Parmi les pratiques courantes, on trouve les tests de hameonnage simuls, o les employs reoivent des e-mails factices pour tester leur vigilance. Cependant, cette mthode, autrefois loue, fait dsormais lobjet de critiques.
Votre entreprise vous a-t-elle rcemment envoy un courriel d’hameonnage ? Les employeurs simulent parfois des messages d’hameonnage pour apprendre leurs employs reprer les menaces de piratage. Mais un responsable de la scurit chez Google estime que le secteur des technologies de l’information doit abandonner cette pratique, qu’il qualifie de contre-productive.
Matt Linton, un gestionnaire de scurit chez Google, a pris position contre ces tests de hameonnage simuls. Dans un tweet et un article de blog, il a exprim que ces exercices sont dpasss et quils engendrent plus de ressentiment chez les employs quils namliorent leurs pratiques de scurit.
Dans le cadre de ces tests, Google envoie un employ un courriel de phishing. Si l’employ clique sur un lien contenu dans l’e-mail, il est inform qu’il a chou au test et doit gnralement suivre une sorte de cours de formation. Toutefois, Linton estime que les tests de hameonnage simuls peuvent avoir des effets secondaires nfastes, susceptibles de compromettre la scurit d’une entreprise.
Linton souligne que non seulement ces tests ne rduisent pas le nombre dincidents de hameonnage russis, mais ils peuvent galement avoir des effets secondaires nuisibles qui compromettent la scurit de lentreprise. Il cite une tude de 2021 qui a dur 15 mois et qui conclut que ces tests ne rendent pas les employs plus rsistants au hameonnage. En dautres termes, malgr ces exercices, les attaques de hameonnage continuent daider les pirates pntrer dans les rseaux.
Il n’y a aucune preuve que les tests permettent de rduire le nombre de campagnes de phishing russies , a dclar Linton, notant que les attaques de phishing continuent d’aider les pirates s’implanter dans les rseaux, en dpit de ces formations. Il a galement cit une tude ralise en 2021 sur une priode de 15 mois, qui a conclu que ces tests d’hameonnage ne rendaient pas les employs plus rsistants l’hameonnage.
PSA for Cybersecurity folk: Our co-workers are tired of being « tricked » by phishing exercises y’all, and it is making them hate us for no benefit.
I have many thoughts that won’t fit in a (non-bluecheck) tweet, so you can find them here:https://t.co/jPHuIK3llv
— Matt Linton (@0xMatt) May 22, 2024
Perception inexacte des risques
Dans le cas de Google, Linton a fait remarquer que ses propres tests de simulation d’hameonnage ne refltent pas toujours fidlement la faon dont une attaque apparat dans la bote de rception d’un employ. En effet, pour fonctionner, ces courriels doivent contourner les dfenses anti-hameonnage existantes de l’entreprise. Cela cre une perception inexacte des risques rels et permet aux quipes de test de pntration d’viter d’avoir imiter les tactiques des attaquants modernes , a-t-il dclar.
L’autre problme est que les tests d’hameonnage simuls peuvent ennuyer les employs et susciter du ressentiment. Les employs sont contraris par ces tests et ont l’impression que la scurit les trompe , ce qui dgrade la confiance avec nos utilisateurs qui est ncessaire pour que les quipes de scurit apportent des amliorations systmiques significatives et lorsque nous avons besoin que les employs prennent des mesures opportunes lies des vnements de scurit rels », a-t-il ajout.
Selon Linton, les tests de phishing simuls reviennent forcer les employs vacuer rapidement un btiment lors d’un exercice d’incendie, sauf que de la fume et des flammes relles sont projetes dans les locaux. Une fois l’extrieur, si vous avez pris trop de temps, on vous rprimande pour avoir ragi de manire inapproprie et on vous dit que vous devez mieux vous entraner pour la prochaine fois. Est-ce un moyen efficace d’inspirer confiance et de s’entraner l’vacuation en cas d’incendie ? a-t-il ajout sur LinkedIn.
L’argument principal de Linton est qu’il est impossible de corriger les gens et de les empcher de cliquer sur des messages d’hameonnage. C’est pourquoi les entreprises doivent investir dans des technologies anti-hameonnage, telles que les cls de scurit matrielles et les passkeys, afin d’radiquer la menace ds le dpart.
Mais cela ne signifie pas non plus que les entreprises doivent abandonner les tests d’hameonnage. Il prconise plutt que les entreprises adoptent une formation au phishing plus transparente et plus instructive, qui ne fasse pas l’impasse sur la honte. Il pourrait s’agir d’envoyer un courriel qui dise clairement aux utilisateurs : Je suis un courriel d’hameonnage. C’est un exercice – ce n’est qu’un exercice .
L’argumentation de Matt Linton
Les tests d’hameonnage modernes ressemblent fortement aux premiers tests d’incendie
Google est actuellement soumis des rglementations (par exemple, FedRAMP aux tats-Unis) qui l’obligent effectuer des tests d’hameonnage annuels. Dans le cadre de ces tests obligatoires, l’quipe charge de la scurit cre et envoie des courriels d’hameonnage aux Googlers, compte le nombre d’entre eux qui interagissent avec le courriel et leur explique comment ne pas se laisser abuser par l’hameonnage. Ces exercices permettent gnralement de recueillir des donnes sur les courriels envoys et sur le nombre d’employs qui ont chou en cliquant sur le lien leurre. En gnral, les employs qui chouent l’exercice doivent suivre une formation complmentaire. Selon le document d’orientation FedRAMP sur les tests d’intrusion : Les utilisateurs sont la dernire ligne de dfense et doivent tre tests.
Ces tests ressemblent aux premiers tests d’vacuation auxquels les occupants d’un btiment taient autrefois soumis. Ils exigent des individus qu’ils reconnaissent le danger, qu’ils ragissent individuellement d’une manire approprie , et on leur dit que tout chec est un chec individuel de leur part plutt qu’un problme systmique. Pire encore, les directives de FedRAMP exigent que les entreprises contournent ou liminent tous les contrles systmatiques pendant les tests afin de garantir que la probabilit qu’une personne clique sur un lien d’hameonnage est artificiellement maximise.
Parmi les effets secondaires nfastes de ces tests :
- Rien ne prouve que ces tests permettent de rduire le nombre de campagnes de phishing russies ;
- Le phishing (ou plus gnralement l’ingnierie sociale) reste l’un des principaux vecteurs de pntration des attaquants dans les entreprises.
- La recherche montre que ces tests n’empchent pas efficacement les gens de se faire avoir. Cette tude portant sur 14 000 participants a mis en vidence l’effet contre-productif des tests d’hameonnage, en montrant que les cliqueurs rcidivistes chouent systmatiquement aux tests en dpit d’interventions rcentes.
- Certains tests d’hameonnage (par exemple, FedRAMP) exigent de contourner les dfenses anti-hameonnage existantes. Cela cre une perception inexacte des risques rels, permet aux quipes de tests de pntration d’viter d’avoir imiter les tactiques modernes des attaquants et cre un risque que les listes d’autorisation mises en place pour faciliter le test soient accidentellement laisses en place et rutilises par les attaquants.
- La charge de travail des quipes de dtection et de raction aux incidents (D&R) s’est considrablement accrue au cours de ces tests, car les utilisateurs les saturent de milliers de rapports inutiles.
- Les employs sont contraris par ces rapports et ont l’impression que la scurit les pige , ce qui dgrade la confiance avec nos utilisateurs qui est ncessaire pour que les quipes de scurit apportent des amliorations systmiques significatives et lorsque nous avons besoin que les employs prennent des mesures opportunes lies des vnements de scurit rels.
- Dans les grandes entreprises disposant de plusieurs produits indpendants, les employs peuvent se retrouver avec de nombreux tests d’hameonnage requis qui se chevauchent, ce qui entrane des charges rptes.
Former des humains viter le phishing ou l’ingnierie sociale avec un taux de russite de 100 % est une tche probablement impossible. Il est utile d’apprendre aux gens reprer le phishing et l’ingnierie sociale afin qu’ils puissent alerter les services de scurit pour qu’ils interviennent en cas d’incident. En s’assurant que mme un seul utilisateur signale les attaques en cours, les entreprises peuvent activer des rponses compltes, qui constituent un contrle dfensif intressant permettant d’attnuer rapidement les attaques, mme les plus avances. Mais, tout comme les professionnels de la scurit incendie sont passs une formation l’vacuation rgulire et annonce l’avance plutt qu’ des exercices surprises, l’industrie de la scurit de l’information devrait s’orienter vers une formation qui ne mette pas l’accent sur les surprises et les astuces, mais qui donne la priorit une formation prcise sur ce que nous voulons que le personnel fasse ds qu’il repre un courriel d’hameonnage – en mettant particulirement l’accent sur la reconnaissance et le signalement de la menace de l’hameonnage.
En bref, nous devons cesser de faire des tests d’hameonnage et commencer faire des exercices d’hameonnage.
Un exercice de lutte contre l’hameonnage viserait accomplir ce qui suit :
- Sensibiliser nos utilisateurs la manire de reprer les courriels d’hameonnage
- Informer les utilisateurs sur la manire de signaler les courriels d’hameonnage
- Permettre aux employs de s’entraner signaler un courriel d’hameonnage de la manire que nous prfrons, et
- Collecter des donnes utiles pour les auditeurs, telles que :
- le nombre d’utilisateurs qui se sont entrans signaler un courriel comme tant un courriel d’hameonnage
- le temps coul entre l’ouverture de l’e-mail et le premier signalement d’hameonnage
- L’heure de la premire escalade vers l’quipe de scurit (et le delta temporel)
- Le nombre de rapports 1 heure, 4 heures, 8 heures et 24 heures aprs l’envoi.
Vers une approche plus constructive
En conclusion, lapproche de Google souligne un besoin de changement dans la manire dont les entreprises abordent la formation la cyberscurit. Plutt que de piger les employs, il serait peut-tre temps de dvelopper des mthodes plus constructives et empathiques pour renforcer la scurit en ligne. Peut-tre que des simulations plus ralistes, des ateliers interactifs et des formations cibles pourraient mieux servir cet objectif.
Sources : Matt Linton, Phishing in Organizations: Findings from a Large-Scale and Long-Term Study
Et vous ?
Pensez-vous que les tests de hameonnage simuls sont une mthode efficace pour sensibiliser les employs aux risques de scurit en ligne ?
Les exercices de simulation de hameonnage peuvent-ils crer un climat de mfiance entre les employs et les quipes de scurit ? Comment peut-on viter cela ?
Quelles alternatives constructives suggrez-vous pour remplacer les tests de hameonnage et amliorer la cyberscurit au sein des entreprises ?
Comment les entreprises peuvent-elles quilibrer la ncessit de former leurs employs tout en prservant un environnement de travail sain et respectueux ?
Avez-vous dj t soumis un test de hameonnage simul ? Si oui, quelle a t votre exprience et quel impact cela a-t-il eu sur votre perception de la scurit en ligne ?