L’importance d’une campagne de sensibilisation au phishing
Les dangers d’Internet sont nombreux et variés : le phishing et le spear phishing, en particulier, connaissent une recrudescence inquiétante. Les conséquences de ces attaques peuvent être préjudiciables.
Pourquoi le phishing est-il tant apprécié par les hackers ? Tout simplement parce qu’il est facile de créer un e-mail d’hameçonnage basique, même pour un novice en matière de fraude. De plus, les êtres humains restent vulnérables ! Les pirates informatiques exploitent cette faille à loisir, à tel point que 80% des cyberattaques sont initiées par un e-mail de phishing.
Nous sommes tous conscients de la nécessité de sensibiliser les individus au phishing, et de les éduquer pour qu’ils puissent éviter les pièges de ce type d’attaque. Mais comment y parvenir ? Quelle méthode utiliser ?
Les solutions de sensibilisation et les obstacles rencontrés
Pour impliquer les utilisateurs dans la problématique de la cybercriminalité, en particulier les risques liés au phishing, il est nécessaire de mettre en place des solutions techniques et organisationnelles. De nombreux acteurs de l’informatique, tels que les responsables informatiques, les DSI, les RSSI et les DPO, informent les collaborateurs sur ces risques. Ils mènent des campagnes de phishing, dispensent des conseils sur les bonnes pratiques informatiques et fournissent régulièrement des informations aux utilisateurs via des documents en ligne ou dans la presse spécialisée.
Cependant, se rendent-ils réellement compte de l’impact de leurs actions de sensibilisation auprès des utilisateurs ? Et surtout, pourquoi ces mesures ne parviennent-elles pas à stopper les attaques par phishing ?
Les campagnes de phishing des hackers : toujours d’actualité !
Selon le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), les attaques par phishing restent en tête des grands types d’attaques subies par les entreprises (près de 80%), suivies de la fraude au président (47%).
Malheureusement, le même scénario se répète inlassablement : un individu ouvre accidentellement un e-mail d’hameçonnage, clique sur le lien qu’il contient ou, par erreur ou inattention, télécharge une pièce jointe sans prudence. Un simple geste aux conséquences souvent désastreuses : parmi les plus fréquentes, citons l’infection par un ransomware, l’usurpation d’identité, l’infection par un malware et le vol de données personnelles.
Cependant, nous ne pouvons blâmer un utilisateur s’il n’a pas été préalablement formé pour éviter les pièges des e-mails de phishing.
L’humain, la principale porte d’entrée des cybercriminels
La technologie seule ne suffit pas ! Des années d’investissement dans les antivirus, les antispams et les pare-feux nous le prouvent : le phishing reste une méthode très prisée des hackers. Malgré cela, nous restons immobiles, attendant, impuissants, que surviennent les catastrophes : un lien frauduleux cliqué, une pièce jointe malveillante ouverte… Une situation insoutenable !
Il est temps de changer de perspective ! Investir dans le capital humain doit prendre le pas sur l’investissement technologique.
Protéger les individus et l’organisation contre le phishing
En réalité, préparer les individus au phishing, c’est protéger son organisation :
- contre les pertes économiques.
- contre le coût engendré par les interruptions ou les perturbations de la production.
- contre les dysfonctionnements du site web.
- contre l’indisponibilité du système d’information.
- contre les retards liés aux travaux de mise en conformité.
- contre la détérioration de son image et la perte de confiance de ses clients potentiels.
Cette liste n’est pas exhaustive ! La formation du personnel est l’enjeu majeur de cette décennie. Mais comment y parvenir ?