google 4.9 (34 critiques)
Cyber security service pour vous
Planifier une démonstration
Retour au centre de ressources

Pourquoi la plupart des simulations phishing font plus de mal que de bien (et comment nous y remédions)

28 décembre 2023 - Cyber security

Partager

guardey-sprint-meeting

Phishing Les simulations sont une pratique courante pour de nombreuses organisations. Et à juste titre.

Le nombre d'attaques phishing a augmenté de plus de 150 % chaque année depuis 2019. En 2022, l 'APWG a enregistré plus de 4,7 millions d'attaques phishing . Selon des recherches menées par le FBI, les escroqueries phishing représentent près de 22 % de toutes les violations de données qui se produisent.

Pour y remédier, de nombreuses organisations optent pour des simulations sur le site phishing afin de tester la sensibilité de leurs employés.

Cependant, nous pensons (et la recherche le montre maintenant) que la plupart des organisations n'aident pas leurs employés avec leurs simulations sur phishing . En fait, elles les rendent même plus vulnérables à la fraude. En fait, elles les rendent même plus vulnérables à phishing.

Dans cet article, nous expliquons notre vision des raisons pour lesquelles la plupart des simulations phishing font plus de mal que de bien et comment vous pouvez éviter cela.

Problème n° 1 : les courriels types ne préparent pas les employés à la lance phishing

De nombreux responsables de la sécurité optent pour une stratégie de simulation phishing basée sur la régularité et l'efficacité. Cela signifie qu'ils veulent que leurs employés soient souvent mis à l'épreuve, mais qu'ils ne veulent pas passer beaucoup de temps à préparer les simulations. L'objectif est d'automatiser le processus autant que possible.

Si vous cherchez des fournisseurs de simulation phishing sur Internet, vous verrez que beaucoup d'entre eux jouent sur ce sentiment. Ils proposent des modèles, des courriels phishing générés par l'IA et des courriels envoyés automatiquement. Cela permet aux agents de sécurité de cocher la case "phishing tests " sur leur liste de tâches sans avoir à transpirer. Mission accomplie.

Cependant, ces modèles ne préparent pas les employés aux dangers du spear phishing.

Spear phishing est une méthode phishing dans laquelle les hameçonneurs recherchent soigneusement leur cible. L'attaque semble donc provenir d'une source de confiance dans la vie de la cible. Ils utilisent les informations qu'ils ont recueillies et des techniques d'ingénierie sociale pour amener la cible à cliquer sur un lien malveillant.

Imaginez qu'un cybercriminel pirate l'adresse électronique de l'un de vos fournisseurs. Dans l'un des courriels, il découvre exactement les produits qu'il est censé livrer et à quoi ressemble la facture. Il ne lui reste plus qu'à copier la facture, à modifier les coordonnées bancaires et à l'envoyer à votre service financier à partir d'une adresse électronique en laquelle ce dernier a confiance. Il est beaucoup plus difficile pour vos employés de reconnaître qu'il s'agit de phishing qu'un modèle standard.

Les courriels de type "Spear phishing " sont beaucoup plus difficiles à repérer pour les cibles. Et comme les simulations de phishing n'utilisent pas ces techniques, elles ne préparent tout simplement pas vos employés aux risques cybernétiques réels auxquels ils sont confrontés. Au mieux, elles donnent au responsable de la sécurité et aux employés un faux sentiment de sécurité. Le diable se cache dans les détails lorsqu'il s'agit de phishing, et il est impossible d'automatiser ce genre d'attention aux détails.

Problème n°2 : Les simulations phishing combinées à une formation volontaire sont inefficaces

Des recherches récentes montrent que la combinaison d'une simulation phishing et d'une formation volontaire ne rend pas les employés résistants face à phishing, mais les rend plus souvent plus à cliquer sur les liens phishing . Cela va à l'encontre de toutes les recherches antérieures et d'une pratique courante dans l'industrie.

À quoi ressemble donc cette pratique commune ?

Tout d'abord, tous les employés reçoivent un courriel phishing . Lorsque quelqu'un clique sur un lien, il est redirigé vers une page de formation. Il y reçoit une formation volontaire (c'est-à-dire qu'il peut simplement choisir de ne pas la suivre) sur ce qui vient de se passer et sur la manière de repérer phishing à l'avenir. L'idée est que lorsqu'une personne vient d'être victime d'un hameçonnage, elle sera plus ouverte à la formation et la rétention des connaissances sera maximale.

Cependant, la recherche suggère aujourd'hui que les simulations phishing combinées à une formation volontaire sont inefficaces. Il y a quelques raisons possibles à cela :

  • Les employés ont l'impression d'avoir "appris leur leçon" après une simulation sur phishing , mais ne participent pas à une formation volontaire.
  • Les employés qui ne cliquent pas sur un lien lors d'une simulation sur phishing ne reçoivent aucune forme de formation à la sécurité.
  • Il se peut que les personnes ne retiennent pas bien les informations relatives à la formation juste après s'être senties "prises" au cours d'une simulation phishing .
  • Les employés ont besoin d'une formation régulière pour être véritablement sensibilisés et informés des cyber-risques tels que phishing

Comment faire des simulations phishing de la bonne manière ?

Nous avons maintenant établi qu'il y a deux problèmes majeurs dans la façon dont les simulations phishing sont souvent effectuées aujourd'hui :

  • Les courriels types ne préparent pas les employés à l'utilisation d'une arme à feu phishing
  • Phishing les simulations combinées à une formation volontaire sont inefficaces

Depuis un an, nous travaillons avec des chefs d'entreprise, des responsables de la sécurité et d'autres personnes chargées de la sécurité au sein des organisations pour résoudre ce problème.

Nous proposons désormais des simulations de lance phishing . Au cours de cette simulation, nous travaillerons avec une organisation pour développer des courriels phishing qui sembleront authentiques et dignes de confiance à tous les employés ciblés. Il peut s'agir d'émuler un courriel provenant d'un logiciel de gestion des ressources humaines utilisé par l'organisation.

Cela prend plus de temps que de travailler avec des modèles. Mais nous croyons en la qualité plutôt qu'en la quantité. Si un cybercriminel doit investir du temps pour vous pirater, vous devez prendre le temps de former vos employés. Vous ne pouvez pas tout automatiser. C'est pourquoi nous conseillons de n'effectuer une simulation spear phishing qu'une ou deux fois par an.

En outre, nous proposons un security awareness jeu qui apprend aux employés à reconnaître et à agir face aux cybermenaces, notamment phishing. Chaque semaine, les employés sont invités à relever un défi sur le site cyber security qui prend jusqu'à trois minutes. Cela leur permet d'acquérir des connaissances et de se tenir au courant des cybermenaces chaque jour de la semaine.

Dans ce jeu, chaque utilisateur crée une organisation fictive. En relevant des défis, il peut faire gagner de l'argent à son entreprise et améliorer sa réputation. Mais s'ils se trompent dans les questions, ils perdent de l'argent et leur réputation se dégrade. Dans le tableau de classement, ils peuvent voir quels collègues marquent le plus de points. Cela crée un élément de compétition amusant et stimule la participation.

Le jeu security awareness permet à votre équipe d'acquérir des connaissances et la simulation phishing de tester leur sensibilité au fil du temps.

📚 Découvrez comment Roosevelt Kliniek s'entraîne à phishing avec Guardey

Protégez votre organisation contre phishing avec Guardey

Nous sommes convaincus qu'il est impossible d'automatiser la prévention de phishing . Il faut des formations régulières et des simulations ciblées sur phishing pour que vos employés soient vraiment résilients.

Si vous souhaitez essayer notre solution, n'hésitez pas à prendre rendez-vous pour une démonstration.

ARTICLES CONNEXES
Essayer Guardey

La solution de formation security awareness de Guardey permet à vos employés de reconnaître et de signaler les cybermenaces.

14 jours d'essai gratuit

Questions fréquemment posées

Qu'est-ce que la gamification ?

La gamification consiste à ajouter des éléments de jeu dans des environnements non ludiques, tels que la formation security awareness , afin d'accroître la participation et de favoriser l'apprentissage actif.

Quels sont les avantages de la gamification dans la formation security awareness ?

La formation traditionnelle security awareness peut souvent être aride et ennuyeuse. Avec la gamification, le sujet complexe est transformé en une expérience engageante et mémorable.

En intégrant des éléments de jeu tels que des défis, des quiz et des récompenses, il incite les utilisateurs à apprendre activement. Cela rend la formation plus agréable et favorise un sentiment de compétition et d'accomplissement. Cette combinaison favorise la rétention et l'application des connaissances sur cyber security .

Pourquoi est-il important d'entraîner security awareness sur une base hebdomadaire ?

Des études montrent que jusqu'à 90 % des enseignements tirés d'une formation annuelle ou même trimestrielle sont oubliés en quelques semaines. Guardey a été conçu pour sensibiliser ses utilisateurs aux cybermenaces 365 jours par an. Le jeu comporte des défis hebdomadaires de courte durée qui permettent à l'utilisateur de développer lentement ses connaissances et de modifier durablement son comportement.

Quels sont les thèmes abordés dans le jeu security awareness de Guardey ?

Guardey couvre un large éventail de sujets pour former les utilisateurs à toutes les cybermenaces actuelles, en collaboration avec des hackers éthiques et des pédagogues. Les sujets abordés comprennent phishing, le travail à distance, la sécurité des mots de passe, la fraude des PDG, les ransomwares, le smishing, et bien d'autres encore.

Combien de temps les défis hebdomadaires prennent-ils ?

Chaque défi dure jusqu'à trois minutes.

Puis-je utiliser Guardey pour me conformer aux politiques ISO27001, NIS2 et GDPR security awareness ?

Oui. Les normes ISO27001, NIS2 et GDPR exigent que tous les employés reçoivent une formation appropriée à l'adresse security awareness . Guardey est toujours au fait des dernières cybermenaces, politiques et procédures.

La formation security awareness est-elle importante pour tous les employés ou seulement pour certaines fonctions ?

La formation de sensibilisation à la cybersécurité est essentielle pour tous les employés, et pas seulement pour des rôles spécifiques. Chaque membre du personnel peut potentiellement être une cible ou un point d'entrée involontaire pour les cyberattaques. La formation contribue à créer une culture axée sur la sécurité et à minimiser les risques pour l'ensemble de l'organisation.

Si certaines fonctions peuvent nécessiter une formation spécialisée, un niveau de formation de base devrait être accessible à tous.

Dans quelles langues Guardey est-il disponible ?

Guardey est disponible en anglais, néerlandais, italien, français, espagnol, allemand, polonais, suédois et danois.

Vous voulez poser d'autres questions ?
Obtenez une démonstration personnelle

Recevez les dernières ressources et actualités, directement dans votre boîte de réception.

Ressources susceptibles de vous intéresser

Cyber security
Les 10 meilleures évaluations security awareness pour les employés
À propos de NIS2
Cyber security
Cyber security formation des étudiants : les 10 meilleures solutions
Merci.
Cyber security
Les 16 meilleurs jeux security awareness pour les employés en 2024
Centre de ressources
Site web d'Anouk CTA Guardey
ESSAI GRATUIT DE 14 JOURS

Faites l'expérience de Guardey dès aujourd'hui.

  • Essayez sans aucun risque
  • Assistance 24/7
14 jours d'essai gratuit