IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Tests de hameçonnage : un outil de sensibilisation qui frôle la duperie ? Un employé de Google demande à son entreprise d'arrêter d'essayer de piéger ses collègues avec de faux courriels d'hameçonnage

Le , par Stéphane le calme

6PARTAGES

5  0 
Tests de hameçonnage : un outil de sensibilisation qui frôle la duperie ? Un employé de Google demande à son entreprise d'arrêter d'essayer de piéger ses collègues avec de faux courriels d'hameçonnage,
et propose une autre approche

Les entreprises cherchent constamment des moyens pour renforcer les compétences de leurs employés face aux menaces en ligne. Parmi les pratiques courantes, on trouve les tests de hameçonnage simulés, où les employés reçoivent des e-mails factices pour tester leur vigilance. Cependant, cette méthode, autrefois louée, fait désormais l’objet de critiques.

Votre entreprise vous a-t-elle récemment envoyé un courriel d'hameçonnage ? Les employeurs simulent parfois des messages d'hameçonnage pour apprendre à leurs employés à repérer les menaces de piratage. Mais un responsable de la sécurité chez Google estime que le secteur des technologies de l'information doit abandonner cette pratique, qu'il qualifie de contre-productive.

Matt Linton, un gestionnaire de sécurité chez Google, a pris position contre ces tests de hameçonnage simulés. Dans un tweet et un article de blog, il a exprimé que ces exercices sont dépassés et qu’ils engendrent plus de ressentiment chez les employés qu’ils n’améliorent leurs pratiques de sécurité.

Dans le cadre de ces tests, Google envoie à un employé un courriel de phishing. Si l'employé clique sur un lien contenu dans l'e-mail, il est informé qu'il a échoué au test et doit généralement suivre une sorte de cours de formation. Toutefois, Linton estime que les tests de hameçonnage simulés peuvent avoir des effets secondaires néfastes, susceptibles de compromettre la sécurité d'une entreprise.

Linton souligne que non seulement ces tests ne réduisent pas le nombre d’incidents de hameçonnage réussis, mais ils peuvent également avoir des effets secondaires nuisibles qui compromettent la sécurité de l’entreprise. Il cite une étude de 2021 qui a duré 15 mois et qui conclut que ces tests ne rendent pas les employés plus résistants au hameçonnage. En d’autres termes, malgré ces exercices, les attaques de hameçonnage continuent d’aider les pirates à pénétrer dans les réseaux.

« Il n'y a aucune preuve que les tests permettent de réduire le nombre de campagnes de phishing réussies », a déclaré Linton, notant que les attaques de phishing continuent d'aider les pirates à s'implanter dans les réseaux, en dépit de ces formations. Il a également cité une étude réalisée en 2021 sur une période de 15 mois, qui a conclu que ces tests d'hameçonnage ne rendaient pas les employés plus résistants à l'hameçonnage.

Perception inexacte des risques

Dans le cas de Google, Linton a fait remarquer que ses propres tests de simulation d'hameçonnage ne reflètent pas toujours fidèlement la façon dont une attaque apparaît dans la boîte de réception d'un employé. En effet, pour fonctionner, ces courriels doivent contourner les défenses anti-hameçonnage existantes de l'entreprise. « Cela crée une perception inexacte des risques réels et permet aux équipes de test de pénétration d'éviter d'avoir à imiter les tactiques des attaquants modernes », a-t-il déclaré.

L'autre problème est que les tests d'hameçonnage simulés peuvent ennuyer les employés et susciter du ressentiment. Les employés sont contrariés par ces tests et ont l'impression que la sécurité les « trompe », ce qui dégrade la confiance avec nos utilisateurs qui est nécessaire pour que les équipes de sécurité apportent des améliorations systémiques significatives et lorsque nous avons besoin que les employés prennent des mesures opportunes liées à des événements de sécurité réels", a-t-il ajouté.

Selon Linton, les tests de phishing simulés reviennent à forcer les employés à évacuer rapidement un bâtiment lors d'un exercice d'incendie, sauf que de la fumée et des flammes réelles sont projetées dans les locaux. « Une fois à l'extérieur, si vous avez pris trop de temps, on vous réprimande pour avoir réagi de manière inappropriée et on vous dit que vous devez mieux vous entraîner pour la prochaine fois. Est-ce un moyen efficace d'inspirer confiance et de s'entraîner à l'évacuation en cas d'incendie ? » a-t-il ajouté sur LinkedIn.

L'argument principal de Linton est qu'il est impossible de « corriger » les gens et de les empêcher de cliquer sur des messages d'hameçonnage. C'est pourquoi les entreprises doivent investir dans des technologies anti-hameçonnage, telles que les clés de sécurité matérielles et les passkeys, afin d'éradiquer la menace dès le départ.

Mais cela ne signifie pas non plus que les entreprises doivent abandonner les tests d'hameçonnage. Il préconise plutôt que les entreprises adoptent une formation au phishing plus transparente et plus instructive, qui ne fasse pas l'impasse sur la honte. Il pourrait s'agir d'envoyer un courriel qui dise clairement aux utilisateurs : « Je suis un courriel d'hameçonnage. C'est un exercice - ce n'est qu'un exercice ».


L'argumentation de Matt Linton

Les « tests d'hameçonnage » modernes ressemblent fortement aux premiers « tests d'incendie »

Google est actuellement soumis à des réglementations (par exemple, FedRAMP aux États-Unis) qui l'obligent à effectuer des « tests d'hameçonnage » annuels. Dans le cadre de ces tests obligatoires, l'équipe chargée de la sécurité crée et envoie des courriels d'hameçonnage aux Googlers, compte le nombre d'entre eux qui interagissent avec le courriel et leur explique comment « ne pas se laisser abuser » par l'hameçonnage. Ces exercices permettent généralement de recueillir des données sur les courriels envoyés et sur le nombre d'employés qui ont échoué en cliquant sur le lien leurre. En général, les employés qui échouent à l'exercice doivent suivre une formation complémentaire. Selon le document d'orientation FedRAMP sur les tests d'intrusion : « Les utilisateurs sont la dernière ligne de défense et doivent être testés.

Ces tests ressemblent aux premiers « tests d'évacuation » auxquels les occupants d'un bâtiment étaient autrefois soumis. Ils exigent des individus qu'ils reconnaissent le danger, qu'ils réagissent individuellement d'une manière « appropriée », et on leur dit que tout échec est un échec individuel de leur part plutôt qu'un problème systémique. Pire encore, les directives de FedRAMP exigent que les entreprises contournent ou éliminent tous les contrôles systématiques pendant les tests afin de garantir que la probabilité qu'une personne clique sur un lien d'hameçonnage est artificiellement maximisée.

Parmi les effets secondaires néfastes de ces tests :
[LIST][*]Rien ne prouve que ces tests permettent de réduire le nombre de campagnes de phishing réussies ;
  • Le phishing (ou plus généralement l'ingénierie sociale) reste l'un des principaux vecteurs de pénétration des attaquants dans les entreprises.
  • La recherche montre que ces tests n'empêchent pas efficacement les gens de se faire avoir. Cette étude portant sur 14 000 participants a mis en évidence l'effet contre-productif des tests d'hameçonnage, en montrant que les « cliqueurs récidivistes » échouent systématiquement aux tests en dépit d'interventions récentes.
[*]Certains tests d'hameçonnage (par exemple, FedRAMP) exigent de contourner les défenses anti-hameçonnage existantes. Cela crée une perception inexacte des risques réels, permet aux équipes de tests de pénétration d'éviter d'avoir à imiter les tactiques modernes des attaquants et crée un risque que les listes d'autorisation mises en place pour faciliter le test soient accidentellement laissées en place et réutilisées par les attaquants.[*]La charge de travail des équipes de détection et de réaction aux incidents (D&R) s'est considérablement accrue au cours de ces tests, car les utilisateurs les saturent de milliers de rapports inutiles. [*]Les employés sont contrariés par ces rapports et ont l'impression que la sécurité les « piège », ce qui dégrade la confiance avec nos utilisateurs qui est nécessaire pour que les équipes de sécurité apportent des améliorations systémiques significatives et lorsque nous avons besoin que les employés prennent des mesures opportunes liées à des événements de sécurité réels.[*]Dans les grandes entreprises disposant de[/*]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !