La sensibilisation des utilisateurs ne fonctionne pas? Allez plus loin!
La sensibilisation des utilisateurs ne fonctionne pas, allez plus loin
Les équipes TI et cybersécurité de plusieurs organisations sont souvent frustrées parce que malgré les sensibilisations, à chaque campagne d'hameçonnage, des personnes cliquent. Et ça continue de cliquer. Selon le dernier rapport 2021 de Verizon sur les brèches de sécurité, le taux moyen de clics lors des campagnes d'hameçonnage est de 3%. Les cas extrêmes sont autour de 30%. Pour une entreprise de 100 employés, on a donc au moins 3 personnes qui cliquent à chaque test d'hameçonnage. Le risque est d’autant plus grand que le pirate, de son côté, a juste besoin qu’une seule personne clique sur son courriel ou son fichier malicieux, pour entrer dans votre réseau.
Pourquoi la sensibilisation des utilisateurs fonctionne difficilement
Bien que ce soit une très bonne mesure de sécurité sur papier, les programmes de sensibilisation donnent des résultats mitigés dans les organisations. Les principales raisons sont:
- Les cyberattaques et les scénarios d'hameçonnage évoluent trop vite. De plus, l'hameçonnage ne se fait plus uniquement par courriel. Ils concernent aussi les messages texte, les appels téléphoniques, les réseaux sociaux, etc. Si vous ne couvrez pas tous les moyens d'hameçonnage possibles utilisés par les pirates, considérez que vous êtes à risque. Les scénarios d'hameçonnage évoluant sans cesse, il est impossible de tous les couvrir.
- Non adaptation des périodes de sensibilisation. La bonne pratique universellement admise veut qu’on sensibilise les utilisateurs au moins une fois par année. C’était une bonne idée en 2010 mais pas en 2021! Bien que non adaptée aujourd’hui, cette bonne pratique continue à perdurer et elle met les compagnies à risque. Aujourd'hui vous devez sensibiliser vos utilisateurs 1 fois par mois pour atteindre un niveau d’efficacité acceptable. Sinon considérez qu’un de vos employés finira par cliquer sur un lien ou un fichier malicieux. Auquel cas, la meilleure chose à faire pour vous est de vous préparer à répondre à un incident de sécurité
- L’humain apprend rarement des erreurs de ceux qui ne lui sont pas familiers. Malgré les cas d'hameçonnage fortement médiatisés, et malgré les mises en garde telles que celle de Centre Canadien pour la Cybersécurité, plusieurs utilisateurs et particuliers continuent d’être victimes de scénarios d'hameçonnage connus depuis des années. La raison principale tient au fait que lorsqu’un tiers qu’on ne connaît pas est victime, l’on ne se sent pas forcément concerné, et donc notre niveau de vigilance augmente peu.
La solution
Au delà des sensibilisations prenez des mesures rigoureuses suivantes si vous ne voulez pas être victimes d’hameçonnage
Renforcer la sensibilisation
- Sensibiliser vos utilisateurs au moins 1 fois par mois.
- Pour chaque scénario d'hameçonnage, assurez-vous de couvrir tous les moyens possibles (à votre connaissance) utilisés par les pirates pour les lancer (courriel, réseaux sociaux, téléphone, etc.). Ne partez jamais du principe que les utilisateurs sauront identifier le même scénario quel que soit le moyen utilisé. C’est une erreur.
- Mettez en avant des exemples de cas dont des collègues ou des employés travaillant dans le même domaine que vous ont été victimes. Plus la victime est proche de nous et plus le degré de vigilance augmente
- Mettez l’accent sur les impacts lors de vos campagnes de sensibilisation. Un employé a cliqué sur un lien malicieux qui a failli faire perdre 100 000$ à la compagnie? Sans tabou, envoyez un courriel de sensibilisation et informez tous les employés. Ils réfléchiront à 2 fois avant de cliquer sur un lien
Mesurer l’efficacité de vos sensibilisations
Vous devez mesurer régulièrement l’efficacité de vos campagnes de sensibilisation en faisant des tests d'hameçonnage. Ce test est souvent négligé alors que c’est la clé d’une sensibilisation réussie.
Chose plus importante, lors de chaque test, identifiez les personnes qui cliquent assez souvent et prenez les mesures suivantes:
- Leur offrir une sensibilisation ciblée ou personnalisée et leur refaire un test afin de s' assurer que leur niveau de vigilance augmente continuellement. Il y a de fortes chances qu’une attaque passe par eux, alors autant mettre l’accent sur l’amélioration de leur niveau de sensibilisation.
- Pensez à offrir des cartes cadeaux si le taux de clics d'un employé baisse régulièrement lors des campagnes d'hameçonnage. Cette option donne aussi de bons résultats.
Traitement de choc pour les gros cliqueurs
Si malgré vos tentatives répétées de sensibilisation personnalisées, certains utilisateurs continuent de cliquer régulièrement, prenez des moyens plus énergiques dont:
- Mettre leurs postes de travail dans une zone réseau séparée des autres utilisateurs (ex: VLAN des cliqueurs). Assurez-vous que leurs ordinateurs sont endurcis, désinstaller tous les services non nécessaires sur leur ordinateur et limitez les possibilités de lancer des fonctionnalités telles que Powershell sur leur ordinateur. De ce fait, vous les protégez plus et vous limiterez les possibilités de propagation d’attaque si d’aventure ils sont victimes d’un hameçonnage.
- Surveillez de manière plus accrue les activités malicieuses ou douteuses venant de cette zone. Ex: les prises en charge des tentatives de connexion douteuses concernant les utilisateurs de cette zone doivent être priorisées par rapport aux autres zones de votre réseau. C’est par là que les pirates risquent de passer en priorité.
Comment Streamscan peut vous aider?
Streamscan est une compagnie de cybersécurité opérationnelle qui intervient régulièrement sur le terrain pour aider des organisations victimes de cyberattaques a revenir en production le plus rapidement possible. Nous surveillons aussi la sécurité des réseaux de nos partenaires à travers notre service MDR, ce qui nous permet continuellement de voir les stratagèmes que les pirates utilisent pour lancer des campagnes d'hameçonnage et autres attaques. Cette longue expérience acquise sur le terrain permet de vous recommander les meilleures stratégies pour vous mettre à l'abri des cyberattaques.