Retour à la liste des fiches

Pourquoi les campagnes manuelles de “Mass Mailing” sont-elles peu efficaces pour sensibiliser au phishing ?

Classé dans la catégorie : Risque informatique

Pourquoi les campagnes manuelles de “Mass Mailing” sont-elles peu efficaces pour sensibiliser au phishing ?

Conseil de l'expert

Marion NOGUEIRA et Jean GEELHAND DE MERXEM sont tous les deux experts de la sensibilisation au phishing. En effet, Marion est chargée des partenariats chez Avant de Cliquer, et tout comme Jean, elle échange régulièrement lors de tables rondes et d'événements avec les personnalités les plus inverties en matière de cybersécurité au niveau national. Jean quant à lui est chargé du développement commercial de la solution, tout comme Marion, il est souvent amené à donner de conférence, afin d'informer et de sensibiliser les organisations au sujet des risques cyber.

Que sont le Phishing et le Spear Phishing ?

Le phishing est une technique couramment utilisée pour voler des informations personnelles et financières. Les attaquants utilisent souvent des e-mails ou des messages instantanés frauduleux qui semblent provenir de sources fiables pour tromper les utilisateurs en leur faisant entrer des informations sensibles ou en les incitant à cliquer sur des liens malveillants.

Le Spear Phishing à le même objectif malveillant, mais les moyens pour y arriver sont plus aboutis, plus précis et plus personnels. Contrairement au Phishing traditionnel basé sur l'envoi d'un message générique à un grand nombre de destinataires, le Spear Phishing touche un nombre limité d'utilisateurs et fait appel aux compétences en ingénierie sociale du hacker.

Pourquoi la sensibilisation est-elle importante ?

Le Phishing reste le vecteur d'attaque le plus fréquent. Selon le CESIN, 73% des entreprises déclarent le Phishing et le Spear Phishing comme vecteurs d'entrée principaux pour les attaques subies.

Les DSI, RSSI et DPO en sont conscients la sensibilisation est primordiale. Ces derniers le savent également, il faut être régulier pour obtenir des résultats, mais ils ne disposent pas des ressources et du temps nécessaires pour maintenir cette régularité sans une automatisation du procédé. CDSI'est d'autant plus vrai lorsque l'on parle de grandes organisations, pour lesquelles la personnalisation des e-mails de test est quasi impossible.

Transmettre la culture de la cybersécurité c'est faire de chacun un rempart face au risque cyber. Mieux se protéger c'est aussi mieux protéger son entourage professionnel et personnel. C'est enfin savoir réagir en cas de cyberattaque.

rounde des outils de sensibilisation au phishing

Sensibilisation au 'phishing

La plupart des solutions de sensibilisation manuelles au phishing fonctionnent par campagne d'e-mails (Mass Mailing), ce format a-t-il des limites ?

Cette sensibilisation consiste à envoyer de faux e-mails en masse. Il peut s'agir d'e-mails imitant les grandes enseignes, des infrastructures officielles telles que le gouvernement ou votre banque, mais ils sont envoyés en masse. Certes, tous les collaborateurs doivent être sensibilisés, mais il est important d'adapter les e-mails.

La sensibilisation au phishing est essentielle mais elle perd en efficacité lorsqu'elle est faite sous un format de campagne. En effet, comme toute communication, si elle n'est pas personnalisée/adaptée aux attentes de la cible, son impact sera moindre.

Il s'avère impossible, dans ces disposition, de sensibiliser au Spear Phishing puisque l'on perd en précision et en personnalisation.

Si le même e-mail est envoyé à toute une organisation au même moment :

  • Les collaborateurs peuvent s'informer afin d'éviter aux autres de cliquer cet e-mail
  • Les sensibilités individuelles ne sont pas prises en compte :
    • Sujets abordés
    • Interlocuteurs
    • Créneaux horaires
    • Approches visuelles et textuelles
    • Types d'appels à l'action

S'adapter à chaque utilisateur, est-ce la clé de l'efficacité ?

Pour faire de l'Humain, l'acteur principal de la sécurité informatique, il est important :

  • D'apprendre aux utilisateurs à devenir vigilant et acteur au quotidien en leur transmettant une véritable culture cyber.
  • De consacrer du temps pour la production, le déploiement, la mise en oeuvre et le suivi des e-mails permettant d'évaluer la vigilance des utilisateurs.
  • De proposer une sensibilisation adaptée à chacun, une sensibilisation sur mesure. En effet, des e-mails de plusieurs niveaux de difficulté doivent être envoyés en fonction des lacunes de chacun.
  • D'acculturer les utilisateurs aux autres formes d'actes cyber malveillants tels que les attaques par clé USB, les QR code ...
  • D'accompagner chaque utilisateur dans sa montée en compétence face aux attaques par phishing. Si une erreur est faite, l'utilisateur est dirigé vers une page qui lui permet de comprendre ses erreurs.
  • De proposer une sensibilisation sur la durée, d'actualité et évolutive pour maintenir la vigilance efficacement et de façon permanente.

C'est l'association de tous ces éléments qui permet de tendre vers l'efficacité optimale et durable.

Quelle solution apporte Avant de Cliquer aux DSI, RSSI et DPO ?

Chez Avant de Cliquer, une équipe de spécialistes développe en permanence des e-mails similaires aux e-mails de phishing créés par les hackers. Cela permet de sensibiliser sur les techniques d'hameçonnage en vigueur. Imiter la stratégie des hackers nous permet une sensibilisation en condition réelle efficace.

L'automatisation permet au Service Informatique de s'alléger de la tâche chronophage que constitue la sensibilisation à la cybersécurité. Notre algorithme pioche ensuite dans cette base d'e-mail, mais il ne le fait pas au hasard. En effet, le choix des e-mails de test envoyés se fait notamment en fonction de la sensibilité de l'utilisateur face à certains sujets, ainsi que d'autres critères. Quant à la fréquence d'envoi elle dépend surtout du niveau de vigilance de l'utilisateur. Vous l'aurez compris, cet algorithme auto-apprenant permet une sensibilisation continue et adaptée au niveau de chacun.

Un interlocuteur dédié permet aux DSI, RSSI, DPO et dirigeants de réduire le risque de cyberattaques de manière drastique. La solution intègre un accompagnement personnalisé pour les responsables et une pédagogie innovante pour que les utilisateurs acquièrent des réflexes de cybersécurité. Avant de Cliquer propose également des techniques de test complémentaires telles que les clés USB.

Allons plus loin, Le Bouton d'Alerte Phishing proposé par Avant de Cliquer permet de centraliser les attaques repérées par les utilisateurs. Il est épinglé directement dans la barre d'outils de la boîte emails et peut être installé de façon indépendante de notre solution.

Pour obtenir une démo gratuite, rendez-vous sur https://avantdecliquer.com/contact-inforisque/

En savoir plus sur la société et les produits de Avant de Cliquer.

 

Si vous souhaitez participer à cette rubrique en soumettant des articles, ou des liens, n'hésitez pas...

 

Les dernières actualités de la prévention des risques professionnels

Les derniers produits des risques professionnels