En matière de sensibilisation des utilisateurs, la simulation d’attaques de phishing est à la mode. Si ce type de tests présente un réel intérêt, il faut faire attention à ne pas en faire le dispositif central de sa stratégie de sensibilisation. Parlons tout d’abord des points forts de ce type d’opérations. Le principe de ce type de tests est relativement simple. Il s’agit d’envoyer à une population cible un e-mail similaire à ceux qui sont utilisés pour de réelles opérations de phishing.
Déroulement d’une campagne type
On commence par choisir un scénario plus ou moins réaliste qui, en plus de faire cliquer le destinataire, va également chercher à obtenir certaines informations personnelles ou confidentielles, ou encore à faire ouvrir une pièce jointe. On envoie ensuite l’e-mail de test phishing à la population ciblée. Si une personne clique sur le lien contenu dans l’e-mail, elle arrive sur une « oups » page qui peut au choix : simplement lui indiquer qu’elle a cliqué sur ce qui aurait pu être un phishing réel, lui souligner les éléments qui auraient dû attirer son attention, ou encore lui fournir un support complémentaire de sensibilisation sur le phishing.
L’intérêt de ce type d’opérations est réel. La personne qui a cliqué se rend compte immédiatement de son erreur et on peut supposer qu’elle fera plus attention à l’avenir. Le taux de personnes se faisant prendre peut également être un indicateur dans le temps du niveau de maturité face aux attaques de phishing.
Des dispositifs qui restent perfectibles
Ce type d’opérations présentent cependant aussi un certain nombre de points faibles :
Quand une personne ne clique pas, cela ne veut pas dire qu’elle a détecté qu’il s’agit d’une tentative de phishing et qu’elle est sensibilisée. Cela peut en effet vouloir dire qu’elle n’a simplement pas vu le message, que le sujet ne l’intéresse pas ou ne l’interpelle pas, qu’elle est trop occupée par ailleurs. Cela revient à ne sensibiliser que les personnes qui se font prendre alors que tout le monde a besoin d’être sensibilisé.
La tendance dans ces outils est de tester les collaborateurs sur ce qu’on appelle le phishing de masse. Cependant, les attaques les plus dangereuses et qui coûtent le plus cher aux entreprises sont le fait de phishing ciblé (spear phishing) et de techniques d’ingénierie sociale. Le seul moyen pour éviter au maximum que les collaborateurs se fassent piéger est bien de mener des campagnes de sensibilisation, de formation sur ces sujets.
En cherchant à rendre un test phishing le plus réaliste possible, on s’expose également à l’utilisation non autorisée d’une marque dans le cadre d’une opération de nature à dévaloriser cette même marque. Ce type d’opérations peut aussi être mal perçu par les collaborateurs qui ont le sentiment qu’on essaye de les piéger. Cette perception négative peut également être un obstacle à la construction d’une sécurité positive, vecteur de protection et de création de valeur.
Il convient donc d’utiliser ces tests phishing à bon escient et d’en faire un instrument possible au service d’une stratégie de sensibilisation globale. Seule une gouvernance globale orientée sensibilisation dans une logique de long terme permettra une réelle diminution du nombre d’incidents de sécurité.
Par Michel GERARD chez Conscio Technologies