Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Internet : Tests phishings pour la sensibilisation : efficace ?
Posté par JulieM le 7/5/2021 13:00:00 Articles du même auteur

En matière de sensibilisation des utilisateurs, la simulation d’attaques de phishing est à la mode. Si ce type de tests présente un réel intérêt, il faut faire attention à ne pas en faire le dispositif central de sa stratégie de sensibilisation.

Parlons tout d’abord des points forts de ce type d’opérations. Le principe de ce type de tests est relativement simple. Il s’agit d’envoyer à une population cible un e-mail similaire à ceux qui sont utilisés pour de réelles opérations de phishing.

Déroulement d’une campagne type

On commence par choisir un scénario plus ou moins réaliste qui, en plus de faire cliquer le destinataire, va également chercher à obtenir certaines informations personnelles ou confidentielles, ou encore à faire ouvrir une pièce jointe.

On envoie ensuite l'e-mail de test phishing à la population ciblée. Si une personne clique sur le lien contenu dans l’e-mail, elle arrive sur une « oups » page qui peut au choix : 

simplement lui indiquer qu’elle a cliqué sur ce qui aurait pu être un phishing réel, lui souligner les éléments qui auraient dû attirer son attention, ou encore lui fournir un support complémentaire de sensibilisation sur le phishing.

L’intérêt de ce type d’opérations est réel. La personne qui a cliqué se rend compte immédiatement de son erreur et on peut supposer qu’elle fera plus attention à l’avenir. 

Le taux de personnes se faisant prendre peut également être un indicateur dans le temps du niveau de maturité face aux attaques de phishing.

Des dispositifs qui restent perfectibles

Ce type d’opérations présentent cependant aussi un certain nombre de points faibles :

Quand une personne ne clique pas, cela ne veut pas dire qu’elle a détecté qu’il s’agit d’une tentative de phishing et qu’elle est sensibilisée. Cela peut en effet vouloir dire qu’elle n’a simplement pas vu le message, que le sujet ne l’intéresse pas ou ne l’interpelle pas, qu’elle est trop occupée par ailleurs. 

 Cela revient à ne sensibiliser que les personnes qui se font prendre alors que tout le monde a besoin d’être sensibilisé.

La tendance dans ces outils est de tester les collaborateurs sur ce qu’on appelle le phishing de masse. Cependant, les attaques les plus dangereuses et qui coûtent le plus cher aux entreprises sont le fait de phishing ciblé (spear phishing) et de techniques d’ingénierie sociale. 

Le seul moyen pour éviter au maximum que les collaborateurs se fassent piéger est bien de mener des campagnes de sensibilisation, de formation sur ces sujets.

En cherchant à rendre un test phishing le plus réaliste possible, on s’expose également à l’utilisation non autorisée d’une marque dans le cadre d’une opération de nature à dévaloriser cette même marque. 

Ce type d’opérations peut aussi être mal perçu par les collaborateurs qui ont le sentiment qu’on essaye de les piéger. Cette perception négative peut également être un obstacle à la construction d’une sécurité positive, vecteur de protection et de création de valeur.

Il convient donc d’utiliser ces tests phishing à bon escient et d’en faire un instrument possible au service d’une stratégie de sensibilisation globale. Seule une gouvernance globale orientée sensibilisation dans une logique de long terme permettra une réelle diminution du nombre d’incidents de sécurité.

Michel GERARD chez Conscio Technologies

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
14/6/2021 15:00:00 - Big Rumble Boxing: Creed Champions !
14/6/2021 14:00:00 - Soulstice : un nouveau jeu d'action Next-Gen :
14/6/2021 13:00:00 - Toujours plus de données à traiter
11/6/2021 15:00:00 - Encased : Pénétrez au coeur du Dôme.
11/6/2021 14:00:00 - Farming Simulatore 2022 : Edition Collector.
9/6/2021 15:00:00 - Match de football en streaming : carton rouge pour le Wi-Fi faible
9/6/2021 14:00:00 - Dying Light : Hellraid, Mode Histoire - The Prisoner
7/6/2021 15:00:00 - Complémentarité technologique et souveraineté : l’âge de maturité
7/6/2021 14:00:00 - Warhammer 40,000 : Chaos Gate – Daemonhunters : Sur PC en 2022
7/6/2021 13:00:00 - After The Fall : MMO VR, PV et consoles.

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité