Pourquoi la plupart des simulations phishing font plus de mal que de bien (et comment nous y remédions)

Phishing Les simulations sont une pratique courante pour de nombreuses organisations. Et à juste titre.

Le nombre d'attaques phishing a augmenté de plus de 150 % chaque année depuis 2019. En 2022, l 'APWG a enregistré plus de 4,7 millions d'attaques phishing . Selon des recherches menées par le FBI, les escroqueries phishing représentent près de 22 % de toutes les violations de données qui se produisent.

Pour y remédier, de nombreuses organisations optent pour des simulations sur le site phishing afin de tester la sensibilité de leurs employés.

Cependant, nous pensons (et la recherche le montre maintenant) que la plupart des organisations n'aident pas leurs employés avec leurs simulations sur phishing . En fait, elles les rendent même plus vulnérables à la fraude. En fait, elles les rendent même plus vulnérables à phishing.

Dans cet article, nous expliquons notre vision des raisons pour lesquelles la plupart des simulations phishing font plus de mal que de bien et comment vous pouvez éviter cela.

Problème n° 1 : les courriels types ne préparent pas les employés à la lance phishing

De nombreux responsables de la sécurité optent pour une stratégie de simulation phishing basée sur la régularité et l'efficacité. Cela signifie qu'ils veulent que leurs employés soient souvent mis à l'épreuve, mais qu'ils ne veulent pas passer beaucoup de temps à préparer les simulations. L'objectif est d'automatiser le processus autant que possible.

Si vous cherchez des fournisseurs de simulation phishing sur Internet, vous verrez que beaucoup d'entre eux jouent sur ce sentiment. Ils proposent des modèles, des courriels phishing générés par l'IA et des courriels envoyés automatiquement. Cela permet aux agents de sécurité de cocher la case "phishing tests " sur leur liste de tâches sans avoir à transpirer. Mission accomplie.

Cependant, ces modèles ne préparent pas les employés aux dangers du spear phishing.

Spear phishing est une méthode phishing dans laquelle les hameçonneurs recherchent soigneusement leur cible. L'attaque semble donc provenir d'une source de confiance dans la vie de la cible. Ils utilisent les informations qu'ils ont recueillies et des techniques d'ingénierie sociale pour amener la cible à cliquer sur un lien malveillant.

Imaginez qu'un cybercriminel pirate l'adresse électronique de l'un de vos fournisseurs. Dans l'un des courriels, il découvre exactement les produits qu'il est censé livrer et à quoi ressemble la facture. Il ne lui reste plus qu'à copier la facture, à modifier les coordonnées bancaires et à l'envoyer à votre service financier à partir d'une adresse électronique en laquelle ce dernier a confiance. Il est beaucoup plus difficile pour vos employés de reconnaître qu'il s'agit de phishing qu'un modèle standard.

Les courriels de type "Spear phishing " sont beaucoup plus difficiles à repérer pour les cibles. Et comme les simulations de phishing n'utilisent pas ces techniques, elles ne préparent tout simplement pas vos employés aux risques cybernétiques réels auxquels ils sont confrontés. Au mieux, elles donnent au responsable de la sécurité et aux employés un faux sentiment de sécurité. Le diable se cache dans les détails lorsqu'il s'agit de phishing, et il est impossible d'automatiser ce genre d'attention aux détails.

Problème n°2 : Les simulations phishing combinées à une formation volontaire sont inefficaces

Des recherches récentes montrent que la combinaison d'une simulation phishing et d'une formation volontaire ne rend pas les employés résistants face à phishing, mais les rend plus souvent plus à cliquer sur les liens phishing . Cela va à l'encontre de toutes les recherches antérieures et d'une pratique courante dans l'industrie.

À quoi ressemble donc cette pratique commune ?

Tout d'abord, tous les employés reçoivent un courriel phishing . Lorsque quelqu'un clique sur un lien, il est redirigé vers une page de formation. Il y reçoit une formation volontaire (c'est-à-dire qu'il peut simplement choisir de ne pas la suivre) sur ce qui vient de se passer et sur la manière de repérer phishing à l'avenir. L'idée est que lorsqu'une personne vient d'être victime d'un hameçonnage, elle sera plus ouverte à la formation et la rétention des connaissances sera maximale.

Cependant, la recherche suggère aujourd'hui que les simulations phishing combinées à une formation volontaire sont inefficaces. Il y a quelques raisons possibles à cela :

• Les employés ont l'impression d'avoir "appris leur leçon" après une simulation sur phishing , mais ne participent pas à une formation volontaire.
• Les employés qui ne cliquent pas sur un lien lors d'une simulation sur phishing ne reçoivent aucune forme de formation à la sécurité.
• Il se peut que les personnes ne retiennent pas bien les informations relatives à la formation juste après s'être senties "prises" au cours d'une simulation phishing .
• Les employés ont besoin d'une formation régulière pour être véritablement sensibilisés et informés des cyber-risques tels que phishing

Comment faire des simulations phishing de la bonne manière ?

Nous avons maintenant établi qu'il y a deux problèmes majeurs dans la façon dont les simulations phishing sont souvent effectuées aujourd'hui :

• Les courriels types ne préparent pas les employés à l'utilisation d'une arme à feu phishing
• Phishing les simulations combinées à une formation volontaire sont inefficaces

Depuis un an, nous travaillons avec des chefs d'entreprise, des responsables de la sécurité et d'autres personnes chargées de la sécurité au sein des organisations pour résoudre ce problème.

Nous proposons désormais des simulations de lance phishing . Au cours de cette simulation, nous travaillerons avec une organisation pour développer des courriels phishing qui sembleront authentiques et dignes de confiance à tous les employés ciblés. Il peut s'agir d'émuler un courriel provenant d'un logiciel de gestion des ressources humaines utilisé par l'organisation.

Cela prend plus de temps que de travailler avec des modèles. Mais nous croyons en la qualité plutôt qu'en la quantité. Si un cybercriminel doit investir du temps pour vous pirater, vous devez prendre le temps de former vos employés. Vous ne pouvez pas tout automatiser. C'est pourquoi nous conseillons de n'effectuer une simulation spear phishing qu'une ou deux fois par an.

En outre, nous proposons un security awareness jeu qui apprend aux employés à reconnaître et à agir face aux cybermenaces, notamment phishing. Chaque semaine, les employés sont invités à relever un défi sur le site cyber security qui prend jusqu'à trois minutes. Cela leur permet d'acquérir des connaissances et de se tenir au courant des cybermenaces chaque jour de la semaine.

Dans ce jeu, chaque utilisateur crée une organisation fictive. En relevant des défis, il peut faire gagner de l'argent à son entreprise et améliorer sa réputation. Mais s'ils se trompent dans les questions, ils perdent de l'argent et leur réputation se dégrade. Dans le tableau de classement, ils peuvent voir quels collègues marquent le plus de points. Cela crée un élément de compétition amusant et stimule la participation.

Le jeu security awareness permet à votre équipe d'acquérir des connaissances et la simulation phishing de tester leur sensibilité au fil du temps.

📚 Découvrez comment Roosevelt Kliniek s'entraîne à phishing avec Guardey

Protégez votre organisation contre phishing avec Guardey

Nous sommes convaincus qu'il est impossible d'automatiser la prévention de phishing . Il faut des formations régulières et des simulations ciblées sur phishing pour que vos employés soient vraiment résilients.

Si vous souhaitez essayer notre solution, n'hésitez pas à prendre rendez-vous pour une démonstration.