Qu'est-ce que la formation de sensibilisation des employés au phishing ?
Qu'il s'agisse de télécharger une pièce jointe contenant un logiciel malveillant ou de soumettre ses informations de connexion sur des sites Web nuisibles, un employé victime d'une escroquerie par phishing est un scénario qui peut empêcher les professionnels de l'informatique et les dirigeants d'entreprise de dormir la nuit.
Une approche de plus en plus efficace pour réduire ce risque consiste à former les employés à la sensibilisation au phishing, mais en quoi consiste exactement ce type de formation ?
Dans cet article, nous aborderons :
- Qu'est-ce qu'une formation de sensibilisation au phishing ?
- Pourquoi la sensibilisation au phishing est-elle importante ?
- Quels sont les différents types de formation de sensibilisation au phishing ?
- Comment démarrer avec la bonne approche
Qu'est-ce qu'une formation de sensibilisation au phishing ?
Une formation de sensibilisation au phishing est la formation continue dispensée aux employés qui les aide à comprendre comment fonctionne le phishing, comment repérer les signes précurseurs d'une attaque et quelles mesures de sécurité doivent-être prises lorsqu'ils se sentent ciblés.
De nombreuses entreprises organisent régulièrement des formations de sensibilisation au phishing pour empêcher les utilisateurs de compromettre leurs identifiants, de télécharger des pièces jointes malveillantes ou d'envoyer des informations sensibles à un hacker.
Pourquoi la sensibilisation au phishing est-elle si importante ?
Il existe une idée fausse très répandue selon laquelle les escroqueries par phishing sont faciles à repérer et que seules les personnes qui ne connaissent pas le concept de phishing ou qui sont naïves en seraient victimes. Il y a aussi le faux sentiment de sécurité de trop compter sur la technologie pour empêcher le phishing ou de penser que "notre entreprise ne sera probablement pas une cible".
La vérité est que les attaques de phishing fonctionnent toujours et gagnent en prévalence et en sophistication chaque année, avec des attaques de spear-phishing de plus en plus sophistiquées.
Il y a maintenant presque 75 fois plus de sites de phishing que de sites malveillants et près de 36 % des brèches de données impliquent désormais du phishing.
Avec ces types de menaces, il est essentiel que les employés soient formés à la détection et au signalement des attaques de phishing avant qu'elles ne causent des dommages financiers, opérationnels ou à votre réputation.
Après tout, il suffit d'une seule tentative de phishing réussie pour faire des ravages.
Quels sont les différents types de formation de sensibilisation au phishing ?
Il existe de nombreux types de canaux, formats et techniques utilisés pour dispenser ce type de formation, mais les plus courants sont :
- Formation assistée par ordinateur (CBT)
- Exercices de simulations de phishing
- Formation en classe
Formation assistée par ordinateur (CBT)
Beaucoup d'entre nous se souviendront des jours passés à assister à des présentations PowerPoint de sensibilisation à la sécurité d'une heure au travail, à regarder fixement l'instructeur alors qu'il diffusait une liste de conseils sur "comment rester en sécurité en ligne".
Heureusement, l'entraînement est devenu plus efficace (et moins douloureux) depuis lors.
La formation de sensibilisation au phishing sur ordinateur correspond à peu près à ce qu'elle dit sur la boîte : plutôt que de suivre une session en classe, les employés peuvent suivre des cours sur leur ordinateur grâce à une approche "eLearning" modernisée.
Voici un exemple de vidéo de formation tirée de la plateforme de formation automatisée de sensibilisation à la sécurité usecure, uLearn :
La formation de sensibilisation au phishing sur ordinateur présente de nombreux avantages, notamment :
- C'est rapide — La formation par ordinateur comprend souvent des cours rapides qui peuvent être suivis en quelques minutes, de nombreuses études montrant que des sessions de formation plus courtes contribuent à améliorer la rétention des connaissances .
- C'est engageant : Les solutions modernes de formation à la sensibilisation au phishing incluent souvent des vidéos et du contenu interactif, qui peuvent être de puissants outils d'apprentissage pour aider les utilisateurs. comprendre les risques avec des exemples concrets.
- C'est mesuré : L'ordinateur permet de tester facilement les informations dont disposent les utilisateurs et celles qu'ils n'ont pas retenues. Souvent, un quiz de suivi rapide suffit pour mesurer la quantité d'informations qu'ils ont absorbées.
- Il peut être complété à tout moment — Avec des réunions, des congés annuels etc, essayer de rassembler tout le personnel dans la même présentation peut être un cauchemar. La formation par ordinateur peut souvent être complétée lorsque l'utilisateur a le temps, évitant toute session manquée ou obstacle à la productivité.
Exercices de simulation de phishing
Si la formation sur ordinateur est la solution idéale pour sensibiliser les employés au phishing, alors les exercices de simulation de phishing sont la solution idéale pour offrir au personnel une expérience d'apprentissage vraiment concrète.
Un exercice de simulation de phishing des employés est utilisé pour évaluer quels utilisateurs sont susceptibles d'être attaqués, leur donnant une expérience du monde réel tout en analysant comment ils réagiraient dans un scénario lié à une attaque de phishing.
Cela se fait généralement en reproduisant un mail de phishing et en poussant les personnes à saisir leurs informations de connexion ou téléchargent une pièce jointe "nuisible".
Voici un exemple de modèle de phishing tiré de l'outil de simulation de phishing de usecure, uPhish :
Cela semble être un e-mail tout à fait légitime, n'est-ce pas ? 39 % des employés de cette simulation pensaient cela également :
Voici quelques-uns des avantages des simulations de phishing :
- Programmer votre formation — analyse des employés vulnérables au phishing au début de leur formation sur ordinateur vous donne un aperçu utile métrique pour mesurer les progrès à une date ultérieure.
- où une formation supplémentaire est nécessaire : Le déploiement de simulations périodiques permet aux entreprises de détecter les utilisateurs qui risquent d'être victimes et qui peut avoir besoin d'une formation supplémentaire.
- Mesurer l'impact de la formation : déploiement de simulations d'hameçonnage avant et après la formation des employés fournit un aperçu utile de l'efficacité de leur formation de sensibilisation a été.
Formation en classe
Forme de formation à l'ancienne, certaines entreprises utilisent encore des sessions en classe pour dispenser une formation anti-phishing. Il existe cependant quelques différences essentielles entre cette approche et l'approche informatique :
- Peut être plus coûteux : Un instructeur spécialisé dans la sensibilisation à la sécurité est souvent nécessaire pour ces sessions, dont les coûts peuvent varier.
- Peut prendre du temps — Ces sessions nécessitent un temps de préparation et nécessitent souvent que tous les employés soient présents en même temps (ce qui peut être un casse-tête logistique, c'est le moins qu'on puisse dire !).
- La formation est moins ciblée : ces cours sont souvent dispensées par le biais de présentations PowerPoint dans un style avec des cases à cocher, ce qui signifie que tous les membres du personnel reçoivent le même contenu, quels que soient leurs connaissances, leur fonction ou leur ancienneté.
Des études ont indiqué que la rétention de certains sujets peut être jusqu'à 250 % supérieure avec une formation assistée par ordinateur, plutôt qu'un modèle en salle de classe.
Merrill Lynch, The Book of Knowledge
Commencez avec la bonne approche
Ayant aidé des entreprises du monde entier à réduire le cyber-risque humain de leurs employés, usecure sait ce qu'il faut pour véritablement sensibiliser les employés au phishing.
C'est pourquoi nous poussons toujours les entreprises à inclure la sensibilisation au phishing dans un programme plus large de formation de sensibilisation à la sécurité des employés qui comprend un large éventail de sujets de sécurité — par exemple, l'hygiène des mots de passe, l'ingénierie sociale et la gestion sécurisée des données.
En savoir plus sur le lancement d'une formation efficace de sensibilisation au phishing et à la sécurité avec le guide gratuit 2021 d'usecure ci-dessous, ou essayez les cours de formation de sensibilisation à la sécurité de usecure avec un essai gratuit de 14 jours .
-> Le guide de lancement d'une formation efficace à la sensibilisation à la cybersécurité