Tests de hameçonnage : un outil de sensibilisation qui frôle la duperie ? Un employé de Google demande à son entreprise d'arrêter d'essayer de piéger ses collègues avec de faux courriels d'hameçonnage,et propose une autre approche
Les entreprises cherchent constamment des moyens pour renforcer les compétences de leurs employés face aux menaces en ligne. Parmi les pratiques courantes, on trouve les tests de hameçonnage simulés, où les employés reçoivent des e-mails factices pour tester leur vigilance. Cependant, cette méthode, autrefois louée, fait désormais l’objet de critiques.
Votre entreprise vous a-t-elle récemment envoyé un courriel d'hameçonnage ? Les employeurs simulent parfois des messages d'hameçonnage pour apprendre à leurs employés à repérer les menaces de piratage. Mais un responsable de la sécurité chez Google estime que le secteur des technologies de l'information doit abandonner cette pratique, qu'il qualifie de contre-productive.
Matt Linton, un gestionnaire de sécurité chez Google, a pris position contre ces tests de hameçonnage simulés. Dans un tweet et un article de blog, il a exprimé que ces exercices sont dépassés et qu’ils engendrent plus de ressentiment chez les employés qu’ils n’améliorent leurs pratiques de sécurité.
Dans le cadre de ces tests, Google envoie à un employé un courriel de phishing. Si l'employé clique sur un lien contenu dans l'e-mail, il est informé qu'il a échoué au test et doit généralement suivre une sorte de cours de formation. Toutefois, Linton estime que les tests de hameçonnage simulés peuvent avoir des effets secondaires néfastes, susceptibles de compromettre la sécurité d'une entreprise.
Linton souligne que non seulement ces tests ne réduisent pas le nombre d’incidents de hameçonnage réussis, mais ils peuvent également avoir des effets secondaires nuisibles qui compromettent la sécurité de l’entreprise. Il cite une étude de 2021 qui a duré 15 mois et qui conclut que ces tests ne rendent pas les employés plus résistants au hameçonnage. En d’autres termes, malgré ces exercices, les attaques de hameçonnage continuent d’aider les pirates à pénétrer dans les réseaux.
« Il n'y a aucune preuve que les tests permettent de réduire le nombre de campagnes de phishing réussies », a déclaré Linton, notant que les attaques de phishing continuent d'aider les pirates à s'implanter dans les réseaux, en dépit de ces formations. Il a également cité une étude réalisée en 2021 sur une période de 15 mois, qui a conclu que ces tests d'hameçonnage ne rendaient pas les employés plus résistants à l'hameçonnage.
Perception inexacte des risquesPSA for Cybersecurity folk: Our co-workers are tired of being "tricked" by phishing exercises y'all, and it is making them hate us for no benefit.
— Matt Linton (@0xMatt) May 22, 2024
I have many thoughts that won't fit in a (non-bluecheck) tweet, so you can find them here:https://t.co/jPHuIK3llv
Dans le cas de Google, Linton a fait remarquer que ses propres tests de simulation d'hameçonnage ne reflètent pas toujours fidèlement la façon dont une attaque apparaît dans la boîte de réception d'un employé. En effet, pour fonctionner, ces courriels doivent contourner les défenses anti-hameçonnage existantes de l'entreprise. « Cela crée une perception inexacte des risques réels et permet aux équipes de test de pénétration d'éviter d'avoir à imiter les tactiques des attaquants modernes », a-t-il déclaré.
L'autre problème est que les tests d'hameçonnage simulés peuvent ennuyer les employés et susciter du ressentiment. Les employés sont contrariés par ces tests et ont l'impression que la sécurité les « trompe », ce qui dégrade la confiance avec nos utilisateurs qui est nécessaire pour que les équipes de sécurité apportent des améliorations systémiques significatives et lorsque nous avons besoin que les employés prennent des mesures opportunes liées à des événements de sécurité réels", a-t-il ajouté.
Selon Linton, les tests de phishing simulés reviennent à forcer les employés à évacuer rapidement un bâtiment lors d'un exercice d'incendie, sauf que de la fumée et des flammes réelles sont projetées dans les locaux. « Une fois à l'extérieur, si vous avez pris trop de temps, on vous réprimande pour avoir réagi de manière inappropriée et on vous dit que vous devez mieux vous entraîner pour la prochaine fois. Est-ce un moyen efficace d'inspirer confiance et de s'entraîner à l'évacuation en cas d'incendie ? » a-t-il ajouté sur LinkedIn.
L'argument principal de Linton est qu'il est impossible de « corriger » les gens et de les empêcher de cliquer sur des messages d'hameçonnage. C'est pourquoi les entreprises doivent investir dans des technologies anti-hameçonnage, telles que les clés de sécurité matérielles et les passkeys, afin d'éradiquer la menace dès le départ.
Mais cela ne signifie pas non plus que les entreprises doivent abandonner les tests d'hameçonnage. Il préconise plutôt que les entreprises adoptent une formation au phishing plus transparente et plus instructive, qui ne fasse pas l'impasse sur la honte. Il pourrait s'agir d'envoyer un courriel qui dise clairement aux utilisateurs : « Je suis un courriel d'hameçonnage. C'est un exercice - ce n'est qu'un exercice ».
L'argumentation de Matt Linton
Les « tests d'hameçonnage » modernes ressemblent fortement aux premiers « tests d'incendie »
Google est actuellement soumis à des réglementations (par exemple, FedRAMP aux États-Unis) qui l'obligent à effectuer des « tests d'hameçonnage » annuels. Dans le cadre de ces tests obligatoires, l'équipe chargée de la sécurité crée et envoie des courriels d'hameçonnage aux Googlers, compte le nombre d'entre eux qui interagissent avec le courriel et leur explique comment « ne pas se laisser abuser » par l'hameçonnage. Ces exercices permettent généralement de recueillir des données sur les courriels envoyés et sur le nombre d'employés qui ont échoué en cliquant sur le lien leurre. En général, les employés qui échouent à l'exercice doivent suivre une formation complémentaire. Selon le document d'orientation FedRAMP sur les tests d'intrusion : « Les utilisateurs sont la dernière ligne de défense et doivent être testés.
Ces tests ressemblent aux premiers « tests d'évacuation » auxquels les occupants d'un bâtiment étaient autrefois soumis. Ils exigent des individus qu'ils reconnaissent le danger, qu'ils réagissent individuellement d'une manière « appropriée », et on leur dit que tout échec est un échec individuel de leur part plutôt qu'un problème systémique. Pire encore, les directives de FedRAMP exigent que les entreprises contournent ou éliminent tous les contrôles systématiques pendant les tests afin de garantir que la probabilité qu'une personne clique sur un lien d'hameçonnage est artificiellement maximisée.
Parmi les effets secondaires néfastes de ces tests :
[LIST][*]Rien ne prouve que ces tests permettent de réduire le nombre de campagnes de phishing réussies ;
- Le phishing (ou plus généralement l'ingénierie sociale) reste l'un des principaux vecteurs de pénétration des attaquants dans les entreprises.
- La recherche montre que ces tests n'empêchent pas efficacement les gens de se faire avoir. Cette étude portant sur 14 000 participants a mis en évidence l'effet contre-productif des tests d'hameçonnage, en montrant que les « cliqueurs récidivistes » échouent systématiquement aux tests en dépit d'interventions récentes.
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.