Qu'il s'agisse de télécharger une pièce jointe contenant un logiciel malveillant ou de soumettre ses informations de connexion sur des sites Web nuisibles, un employé victime d'une escroquerie par phishing est un scénario qui peut empêcher les professionnels de l'informatique et les dirigeants d'entreprise de dormir la nuit.
Une approche de plus en plus efficace pour réduire ce risque consiste à former les employés à la sensibilisation au phishing, mais en quoi consiste exactement ce type de formation ?
Dans cet article, nous aborderons :
Une formation de sensibilisation au phishing est la formation continue dispensée aux employés qui les aide à comprendre comment fonctionne le phishing, comment repérer les signes précurseurs d'une attaque et quelles mesures de sécurité doivent-être prises lorsqu'ils se sentent ciblés.
De nombreuses entreprises organisent régulièrement des formations de sensibilisation au phishing pour empêcher les utilisateurs de compromettre leurs identifiants, de télécharger des pièces jointes malveillantes ou d'envoyer des informations sensibles à un hacker.
Il existe une idée fausse très répandue selon laquelle les escroqueries par phishing sont faciles à repérer et que seules les personnes qui ne connaissent pas le concept de phishing ou qui sont naïves en seraient victimes. Il y a aussi le faux sentiment de sécurité de trop compter sur la technologie pour empêcher le phishing ou de penser que "notre entreprise ne sera probablement pas une cible".
La vérité est que les attaques de phishing fonctionnent toujours et gagnent en prévalence et en sophistication chaque année, avec des attaques de spear-phishing de plus en plus sophistiquées.
Il y a maintenant presque 75 fois plus de sites de phishing que de sites malveillants et près de 36 % des brèches de données impliquent désormais du phishing.
Avec ces types de menaces, il est essentiel que les employés soient formés à la détection et au signalement des attaques de phishing avant qu'elles ne causent des dommages financiers, opérationnels ou à votre réputation.
Après tout, il suffit d'une seule tentative de phishing réussie pour faire des ravages.
Il existe de nombreux types de canaux, formats et techniques utilisés pour dispenser ce type de formation, mais les plus courants sont :
Beaucoup d'entre nous se souviendront des jours passés à assister à des présentations PowerPoint de sensibilisation à la sécurité d'une heure au travail, à regarder fixement l'instructeur alors qu'il diffusait une liste de conseils sur "comment rester en sécurité en ligne".
Heureusement, l'entraînement est devenu plus efficace (et moins douloureux) depuis lors.
La formation de sensibilisation au phishing sur ordinateur correspond à peu près à ce qu'elle dit sur la boîte : plutôt que de suivre une session en classe, les employés peuvent suivre des cours sur leur ordinateur grâce à une approche "eLearning" modernisée.
Voici un exemple de vidéo de formation tirée de la plateforme de formation automatisée de sensibilisation à la sécurité usecure, uLearn :
La formation de sensibilisation au phishing sur ordinateur présente de nombreux avantages, notamment :
Si la formation sur ordinateur est la solution idéale pour sensibiliser les employés au phishing, alors les exercices de simulation de phishing sont la solution idéale pour offrir au personnel une expérience d'apprentissage vraiment concrète.
Un exercice de simulation de phishing des employés est utilisé pour évaluer quels utilisateurs sont susceptibles d'être attaqués, leur donnant une expérience du monde réel tout en analysant comment ils réagiraient dans un scénario lié à une attaque de phishing.
Cela se fait généralement en reproduisant un mail de phishing et en poussant les personnes à saisir leurs informations de connexion ou téléchargent une pièce jointe "nuisible".
Voici un exemple de modèle de phishing tiré de l'outil de simulation de phishing de usecure, uPhish :
Cela semble être un e-mail tout à fait légitime, n'est-ce pas ? 39 % des employés de cette simulation pensaient cela également :
Voici quelques-uns des avantages des simulations de phishing :
Forme de formation à l'ancienne, certaines entreprises utilisent encore des sessions en classe pour dispenser une formation anti-phishing. Il existe cependant quelques différences essentielles entre cette approche et l'approche informatique :
Des études ont indiqué que la rétention de certains sujets peut être jusqu'à 250 % supérieure avec une formation assistée par ordinateur, plutôt qu'un modèle en salle de classe.
Merrill Lynch, The Book of Knowledge
Ayant aidé des entreprises du monde entier à réduire le cyber-risque humain de leurs employés, usecure sait ce qu'il faut pour véritablement sensibiliser les employés au phishing.
C'est pourquoi nous poussons toujours les entreprises à inclure la sensibilisation au phishing dans un programme plus large de formation de sensibilisation à la sécurité des employés qui comprend un large éventail de sujets de sécurité — par exemple, l'hygiène des mots de passe, l'ingénierie sociale et la gestion sécurisée des données.
En savoir plus sur le lancement d'une formation efficace de sensibilisation au phishing et à la sécurité avec le guide gratuit 2021 d'usecure ci-dessous, ou essayez les cours de formation de sensibilisation à la sécurité de usecure avec un essai gratuit de 14 jours .
-> Le guide de lancement d'une formation efficace à la sensibilisation à la cybersécurité