Les entreprises cherchent constamment des moyens pour renforcer les compétences de leurs employés face aux menaces en ligne. Parmi les pratiques courantes, on trouve les tests de hameçonnage simulés, où les employés reçoivent des e-mails factices pour tester leur vigilance. Cependant, cette méthode, autrefois louée, fait désormais l’objet de critiques.Votre entreprise vous a-t-elle récemment envoyé un courriel d'hameçonnage ? Les employeurs simulent parfois des messages d'hameçonnage pour apprendre à leurs employés à repérer les menaces de piratage. Mais un responsable de la sécurité chez Google estime que le secteur des technologies de l'information doit abandonner cette pratique, qu'il qualifie de contre-productive.
Matt Linton, un gestionnaire de sécurité chez Google, a pris position contre ces tests de hameçonnage simulés. Dans un tweet et un article de blog, il a exprimé que ces exercices sont dépassés et qu’ils engendrent plus de ressentiment chez les employés qu’ils n’améliorent leurs pratiques de sécurité.
Dans le cadre de ces tests, Google envoie à un employé un courriel de phishing. Si l'employé clique sur un lien contenu dans l'e-mail, il est informé qu'il a échoué au test et doit généralement suivre une sorte de cours de formation. Toutefois, Linton estime que les tests de hameçonnage simulés peuvent avoir des effets secondaires néfastes, susceptibles de compromettre la sécurité d'une entreprise.
Linton souligne que non seulement ces tests ne réduisent pas le nombre d’incidents de hameçonnage réussis, mais ils peuvent également avoir des effets secondaires nuisibles qui compromettent la sécurité de l’entreprise. Il cite une étude de 2021 qui a duré 15 mois et qui conclut que ces tests ne rendent pas les employés plus résistants au hameçonnage. En d’autres termes, malgré ces exercices, les attaques de hameçonnage continuent d’aider les pirates à pénétrer dans les réseaux.
« Il n'y a aucune preuve que les tests permettent de réduire le nombre de campagnes de phishing réussies », a déclaré Linton, notant que les attaques de phishing continuent d'aider les pirates à s'implanter dans les réseaux, en dépit de ces formations. Il a également cité une étude réalisée en 2021 sur une période de 15 mois, qui a conclu que ces tests d'hameçonnage ne rendaient pas les employés plus résistants à l'hameçonnage.
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">PSA for Cybersecurity folk: Our co-workers are tired of being "tricked" by phishing exercises y'all, and it is making them hate us for no benefit.<br><br>I have many thoughts that won't fit in a (non-bluecheck) tweet, so you can find them here:<a href="https://t.co/jPHuIK3llv">https://t.co/jPHuIK3llv</a></p>— Matt Linton (@0xMatt) <a href="https://twitter.com/0xMatt/status/1793316265081118931?ref_src=twsrc%5Etfw">May 22, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/TWITTER]
Perception inexacte des risques
Dans le cas de Google, Linton a fait remarquer que ses propres tests de simulation d'hameçonnage ne reflètent pas toujours fidèlement la façon dont une attaque apparaît dans la boîte de réception d'un employé. En effet, pour fonctionner, ces courriels doivent contourner les défenses anti-hameçonnage existantes de l'entreprise. « Cela crée une perception inexacte des risques réels et permet aux équipes de test de pénétration d'éviter d'avoir à imiter les tactiques des attaquants modernes », a-t-il déclaré.
L'autre problème est que les tests d'hameçonnage simulés peuvent ennuyer les employés et susciter du ressentiment. Les employés sont contrariés par ces tests et ont l'impression que la sécurité les « trompe », ce qui dégrade la confiance avec nos utilisateurs qui est nécessaire pour que les équipes de sécurité apportent des améliorations systémiques significatives et lorsque nous avons besoin que les employés prennent des mesures opportunes liées à des événements de sécurité réels", a-t-il ajouté.
Selon Linton, les tests de phishing simulés reviennent à forcer les employés à évacuer rapidement un bâtiment lors d'un exercice d'incendie, sauf que de la fumée et des flammes réelles sont projetées dans les locaux. « Une fois à l'extérieur, si vous avez pris trop de temps, on vous réprimande pour avoir réagi de manière inappropriée et on vous dit que vous devez mieux vous entraîner pour la prochaine fois. Est-ce un moyen efficace d'inspirer confiance et de s'entraîner à l'évacuation en cas d'incendie ? » a-t-il ajouté sur LinkedIn.
L'argument principal de Linton est qu'il est impossible de « corriger » les gens et de les empêcher de cliquer sur des messages d'hameçonnage. C'est pourquoi les entreprises doivent investir dans des technologies anti-hameçonnage, telles que les clés de sécurité matérielles et les passkeys, afin d'éradiquer la menace dès le départ.
Mais cela ne signifie pas non plus que les entreprises doivent abandonner les tests d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.