Titre: ESET - Formation de sensibilisation à l'hameçonnage : aider les employés à éviter l'hameçon (21/06/2022 Par cda)
Les contrôles de technologie sont un bon moyen pour créer une culture de la sécurité en entreprise. Il en va de même pour la formation de sensibilisation à l’hameçonnage - qui joue un rôle important dans l'atténuation d’une des plus grandes menaces sécuritaires pour entreprises et, en général, devrait être un élément essentiel des programmes de sensibilisation à la cybersécurité (cybersecurity awareness training).
Pourquoi l’hameçonnage est-il si efficace ?
Selon le rapport ESET Threat Report T1 2022, les menaces par e-mail ont augmenté de 37 % au cours des quatre premiers mois de 2022, comparé aux quatre derniers mois de 2021. Le nombre d'URL d’hameçonnage bloquées a grimpé en flèche tout aussi rapidement, les escrocs utilisant notamment l'intérêt généré par l’actualité, comme la guerre en Ukraine.
L'hameçonnage est l'un des moyens les plus efficaces pour installer des logiciels malveillants, voler des données d’identification et inciter les utilisateurs à effectuer des transferts de fonds de l’entreprise. C’est une combinaison de tactiques d'usurpation d'identité qui permet aux escrocs de se faire passer pour des expéditeurs légitimes et de techniques d'ingénierie sociale conçues pour contraindre le destinataire à agir sans réfléchir aux conséquences en premier lieu.
Ces tactiques incluent :
• Faux identifiants d'expéditeur/domaines/numéros de téléphone, utilisant parfois du typosquattage (typosquatting) ou des noms de domaine internationalisés (IDN)
• Comptes d'expéditeurs piratés, pratiquement impossibles à identifier comme tentatives d'hameçonnage
• Recherche en ligne (via les médias sociaux) pour rendre plus convaincantes les tentatives ciblées de harponnage (spear-phishing)
• Utilisation de logos officiels, d'en-têtes, etc.
• Créer un sentiment d'urgence ou d'excitation qui oblige l'utilisateur à prendre une décision hâtive
• Liens raccourcis qui masquent la véritable destination de l'expéditeur
• Création de portails de connexion, des sites web, etc., d'apparence légitime.

Selon le dernier rapport Verizon DBIR (Verizon DBIR report), quatre vecteurs étaient responsables de la majorité des incidents de sécurité l'an dernier : les identifiants, le phishing, les vulnérabilités et les botnets. Parmi ceux-ci, les deux premiers sont des erreurs humaines. 25 % du total des violations étudiées dans le rapport étaient le résultat d'attaques d'ingénierie sociale. Combiné à l'erreur humaine et à l'abus de privilèges, l'élément humain était responsable de 82 % de toutes les violations. S'attaquer à ce maillon faible de la chaîne de sécurité devrait être une priorité pour tout RSSI.
À quoi l’hameçonnage peut-il mener?
Les attaques d’hameçonnage sont devenues une menace encore plus grande ces deux dernières années. Les travailleurs à domicile distraits, avec des appareils potentiellement non patchés et insuffisamment protégés, ont été attaqués sans relâche. En avril 2020, Google a affirmé (Google claimed) qu'il bloquait chaque jour dans le monde jusqu'à 18 millions d'e-mails malveillants et d’hameçonnage.
Étant donné que bon nombre d’employés retournent au bureau, ils risquent d'être exposés à des attaques par SMS (smishing) et appels vocaux (vishing). Les utilisateurs en déplacement peuvent être susceptibles de cliquer sur plus de liens et d'ouvrir des pièces jointes qu'ils ne devraient, ce qui entraîne :
• Télécharger du rançongiciel (Ransomware)
• Chevaux de Troie bancaires (Banking Trojans)
• Vol de données /violations
• Maliciels de Cryptojacking
• Implémentations de Botnet
• Prise de contrôle de compte pour utilisation dans les attaques de suivi
• Compromission des e-mails professionnels (Business email compromise)(BEC) entraînant une perte d'argent en raison de factures/demandes de paiement frauduleuses
Les dommages financiers et de réputation sont énormes. Alors que le coût moyen d'une violation de données dépasse aujourd'hui 4,2 millions de dollars, certaines violations par rançongiciels ont coûté bien plus cher.
Les tactiques d'entraînement qui fonctionnent
Une étude globale récente montre que la formation et la sensibilisation des employés à la sécurité seront la principale priorité des dépenses des organisations au cours de l'année. Une fois la décision prise, quelle tactique donnera le meilleur résultat ? Une bonne formation et un bon outillage garantissent :
• Une couverture complète sur tous les canaux d’hameçonnage (e-mail, téléphone, réseaux sociaux, etc.)
• Des classes divertissantes qui utilisent des messages positifs au lieu de messages basés sur la peur.
• Des exercices de simulation en situation réelle pouvant être adaptés par le personnel informatique pour refléter l'évolution des campagnes d’hameçonnage.
• L’entraînement tout au long de l'année en petites sessions d'une durée de 15 minutes maximum.
• La protection pour tous les employés, y compris les intérimaires, les sous-traitants et les cadres supérieurs. Toute personne disposant d'un accès au réseau et d'un compte d'entreprise est une cible potentielle.
• Des analyses pour fournir des commentaires détaillés sur les individus, qui peuvent ensuite être partagés et utilisés pour améliorer les sessions suivantes.
• Cours personnalisés adaptés à des emplois spécifiques. Les membres de l'équipe financière ont besoin de conseils supplémentaires lorsqu'ils font face à des attaques BEC.
• Gamification, ateliers et quiz. Ceux-ci aident à motiver les utilisateurs et à rivaliser avec leurs collègues, plutôt que d'avoir l'impression d’être "éduqués" par des experts en informatique. Certains outils très populaires utilisent des techniques de gamification (gamification techniques)pour rendre la formation plus conviviale et engageante.
• Exercices d’hameçonnage à faire soi-même. Selon le National Cyber Security Center (NCSC) du Royaume-Uni, certaines entreprises autorisent les utilisateurs à créer leurs propres e-mails d’hameçonnage afin qu'ils "aient une image plus complète des techniques utilisées".
Ne pas oublier le rapportage
Trouver le programme de formation qui fonctionne pour une organisation est essentiel pour faire des employés la première ligne de défense solide contre l’hameçonnage. Il faut aussi mettre l'accent sur la création d'une culture ouverte qui encourage le signalement des tentatives d'hameçonnage. Les organisations doivent mettre en œuvre un processus de signalement clair et facile à utiliser et rassurer le personnel sur le fait que toutes les alertes font l'objet d'une enquête. Les utilisateurs ont besoin de se sentir soutenus, ce qui nécessite l'adhésion de l'ensemble de l'organisation, y compris les RH et les cadres supérieurs.
La formation de sensibilisation au hameçonnage ne devrait être qu'une partie d'une stratégie à plusieurs niveaux pour lutter contre les menaces d'ingénierie sociale. Même le personnel le mieux formé peut être trompé par des escroqueries sophistiquées. Les contrôles de sécurité sont essentiels : authentification multi-facteurs, plans de réponse aux incidents régulièrement testés et technologies anti-spoofing telles que DMARC https://dmarcadvisor.com/
Retour