Sensibilisation à la cybersécurité : une priorité pour lutter contre les attaques de phishing

Face à la diversité des pièges sur internet, face à l’avalanche des menaces provenant des e-mails de phishing, nous sommes tous conscients de l’importance de se prémunir des cyberattaques et de leurs conséquences potentiellement préjudiciables.

Dès lors que notre activité dépend tout ou partie d’un outil informatique (comme la messagerie par exemple) et/ou que des données sensibles sont stockées et / ou traitées par notre organisation, il est nécessaire non seulement de s’équiper de solutions techniques (virus, anti-spams, pare-feu…) mais aussi de solutions organisationnelles pour prévenir le risque cyber, particulièrement les attaques par phishing, par rançongiciels, les fraudes au président, les dénis de service qui demeurent, hélas, les types d’attaques les plus fréquemment répandues et subies par les organisations.

En effet, les attaques informatiques sont, pour la plupart, de plus en plus sophistiquées techniquement et les moyens pour s’en prémunir se sont largement adaptés.

Les solutions techniques mises en place par nos organisations pour se protéger sont généralement efficaces car elles tiennent compte des technologies utilisées par les fraudeurs.

Il est évident, qu’au vu de la recrudescence des cyberattaques par phishing, il faille aujourd’hui éduquer nos utilisateurs à faire face à ce type d’attaques.

Vous en êtes convaincu. En revanche, cela requiert de comprendre quelques fondamentaux afin de mener une sensibilisation à la cybersécurité efficace.

Moyens de sensibilisation et difficultés de mises en place

Nous le constatons depuis quelques années : les fraudeurs exploitent une faille que l’on avait jusqu’alors négligée : l’humain…car celle-ci ne peut se résoudre techniquement. Vos utilisateurs sont, de facto, devenus la cible privilégiée des fraudeurs trouvant en eux la voie royale pour pénétrer votre système.

En effet, nous entendons dire, depuis des années, que les maillons faibles en cybersécurité se situent entre la chaise et le clavier, soit par manque de connaissances, d’intérêt sur le sujet ou tout simplement par erreurs de l’utilisateur.

Vous le savez : le manque d’intérêt ou de sensibilité pour le risque cyber de la part de l’utilisateur sont les composants de la prochaine cyberattaque.

Pour les impliquer plus profondément et les sensibiliser à la problématique du phishing, vous avez déjà mis en place des solutions, éventuellement déjà mené des campagnes de phishing. Comme de nombreux responsables informatiques, DSI, RSSI, DPO, vous informez vos utilisateurs aux risques informatiques par partage d’informations faisant échos à l’actualité. Vous leur prodiguez des préconisations d’usages de bonnes pratiques informatiques. Vous vous maintenez en veille afin d’informer vos utilisateurs par des documentations sur internet ou dans la presse spécialisée.

…Néanmoins, vous le constatez, cela ne suffit pas !

Car, malgré tout, vous ne connaissez pas réellement la portée de vos actions de sensibilisation prodiguées auprès de vos utilisateurs. En effet, quelles informations vos utilisateurs ont-ils retenues, ont-ils compris les enseignements que vous avez prodigués, vont-ils les appliquer au quotidien, seront-ils vigilants à présent ?

En résumé, êtes-vous convaincu de l’efficacité de la portée de vos actions auprès de vos utilisateurs ?

Impliquer l’humain dans les risques liés au phishing

Nous venons de l’évoquer : les enjeux humains doivent prendre le pas sur les enjeux techniques. L’humain reste le point d’entrée privilégié des cybercriminels.

Or, du fait que nous n’avons pas suffisamment de recul sur le comportement de nos utilisateurs à faire face à ce type d’attaques, celles-ci continuent à occasionner énormément de dégâts (rançons, vol de données…) et se multiplient rapidement.

Comment pouvons-nous encore courber le dos et attendre que cela arrive ?

Attendre qu’un utilisateur commette l’irréparable en téléchargeant une pièce jointe malveillante ou en cliquant sur un lien frauduleux contenu dans un e-mail de phishing permet aux fraudeurs de prendre la main sur votre système d’information.

Cette situation est insupportable !

Néanmoins, nous ne pouvons blâmer un utilisateur imprudent s’il n’a peu ou pas été formé à déjouer les pièges du phishing.

Protéger votre organisation est une nécessité !

Nous ne le rappellerons jamais suffisamment : les conséquences du phishing ne se réduisent pas uniquement à la perte économique. Bien souvent, il faut ajouter le coût engendré par l’arrêt ou perturbation de la production, l’indisponibilité du site web, du système d’information, les retards, les travaux de remise en conformité, la dégradation de l’image, la perte de confiance des potentiels clients et cette liste reste non exhaustive !

2019 et 2020, encore et toujours les années du phishing !

“Les grands types d’attaques subies par les entreprises : l’attaque par phishing (79%),
et l’arnaque au président (47%) (…) L’usurpation d’identité (35%) et l’infection par un malware (34%)
sont les conséquences directes de ces cyber-attaques.”
CESIN (Club des Experts de la Sécurité de l’Information et du Numérique).

En effet, en 2019, le phishing persiste et signe ! Il demeure le “grand gagnant” des vecteurs d’attaques constatées (80%) suivi par l’arnaque au président (47%).

L’usurpation d’identité (35%), l’infection par malware (34%), le vol de données personnelles (26%) et l’infection par un ransomware (25%) sont les conséquences les plus fréquentes de ces attaques. (Enquête “Baromètre de la cybersécurité des entreprises – Janvier 2020”, CESIN).

Quant à leur 1ère cause : vous le devinez. La “négligence ou erreur de manipulation ou de configuration d’un salarié” reste en tête de liste parmi les “éléments liés à la cyber-sécurité auxquels les organisations interrogées ont été concrètement confrontée” !

Nous ne pouvons plus sous-évaluer le risque cyber et plus particulièrement, les chiffres l’attestent, les attaques par phishing. Les dirigeants doivent prouver qu’ils ont mis en œuvre les moyens nécessaires pour les endiguer. Aussi, mieux former et sensibiliser les usagers aux questions sur la cyber-sécurité est l’enjeu d’aujourd’hui.

La formation du personnel devient donc un enjeu majeur. Mais comment ?

UNE SENSIBILISATION A LA CYBERSECURITE REUSSIE : UN SIMULATEUR STIMULANT !

La formation par l’action : menez une campagne de phishing !

Vous avez une fonction liée à la gestion des risques dans votre organisation ? Menez une campagne de sensibilisation à la cybersécurité.

Pour ce faire, vous pouvez animer des séances de formation et de sensibilisation à la sécurité en envoyant régulièrement des e-mails de phishing inoffensifs aux utilisateurs et tester ainsi la vigilance de votre équipe.

Certe mais…vous manquez de temps

En effet, une campagne de phishing reste très chronophage et vous souhaitez vous consacrer à des tâches à plus haute valeur ajoutée. De plus, votre métier tient une place de plus en plus prépondérante dans les organisations tout autant que celle de votre responsabilité qui croît au fil des ans.

et de méthode !

En réalité, il existe autant de méthodes d’apprentissage que de personnalités.

Ainsi, il devient évident d’accompagner vos utilisateurs avec un formateur ou avec des modules d’e-learning afin de leur prodiguer des connaissances sur les techniques de phishing utilisées par des hackers et leur enseigner comment s’en prémunir.

Vous avez également recours à des solutions permettant de tester la vigilance de vos équipes face à des attaques par phishing avec les simulateurs de phishing.

Mais tout comme peut l’être la qualité professionnelle des formateurs, tous les simulateurs de phishing ne se valent pas.

Quel est le MEILLEUR simulateur d’attaques de phishing ?

Nous devons mesurer l’efficacité d’un simulateur de phishing dans sa capacité à apprendre à l’utilisateur à devenir vigilant, autonome et acteur de sa cybersécurité au quotidien.

Le simulateur de phishing doit créer un accompagnement personnalisé pour chaque utilisateur, animé sur la durée et sans intervention de votre part afin de ne pas être chronophage.
Un simulateur de phishing ne doit pas seulement être un logiciel pointant du doigt les utilisateurs ayant cliqué sur un e-mail frauduleux car rappelons-le “ cela peut arriver à tout à chacun”. Il doit se révéler être un accompagnateur dans la montée en compétence de l’utilisateur face aux attaques par phishing.

Cela doit aller bien au delà !!!
Voici 4 points essentiels que doit posséder un simulateur de phishing

Le MEILLEUR simulateur de phishing doit inclure dans son programme de sensibilisation une phase de dispense de connaissance en e-learning sur les techniques de hacking utilisées par les fraudeurs et surtout apprendre à s’en prémunir.
Idéalement, nous y trouverons également des modules d’apprentissage sur la cybersécurité dans sa généralité afin d’élargir les connaissances de cybersécurité.
Afin que l’apprentissage soit efficace, le simulateur de phishing doit exploiter toutes les techniques des hackers et confronter les utilisateurs à celles-ci afin de toutes les appréhender au mieux.

Ensuite, il doit être capable de s’adapter à chacun et de l’accompagner dans son apprentissage car, du fait que nous sommes tous différents, nous devons en avoir un accompagnement personnalisé.
Rappelons que nous traitons, ici, en cybersécurité, du facteur Humain dans toute sa complexité. C’est pourquoi il est également primordial que le simulateur de phishing tienne compte d’une approche pédagogique perfectionnée permettant l’adhésion de tous.
Enfin, le simulateur de phishing doit être un outil d’envois de faux phishing automatiques et personnalisés.

Cet entraînement au phishing sur la durée permet de solliciter l’utilisateur autant que nécessaire à sa montée en compétence dans l’objectif de développer ses réflexes et sa vigilance quotidienne.
Vous l’aurez compris l’apprentissage par l’action est une méthode très efficace permettant à votre personnel de se protéger au mieux face à une attaque par phishing à condition que celui-ci respecte certains fondamentaux d’apprentissage.
Chez Avant de Cliquer, nous avons révolutionné les campagnes de phishing classiques dans l’optique d’amélioration constante des résultats et dans le souci de l’adhésion du plus grand nombre à la problématique du phishing.
Les utilisateur s’inscrivent ainsi dans un programme global de sensibilisation permettant un accompagnement individualisé.

C’est parce que votre cybersécurité est notre priorité que nous avons replacé la sensibilisation de vos équipes au coeur de votre cybersécurité.

Avec “Avant de Cliquer” : vous n’avez rien à faire, nous nous occupons de tout !

Vous souhaitez en connaître d’avantage sur notre solution innovante à l’efficacité immédiate ? Contactez-nous…