Les exercices de formation au phishing sont un élément essentiel de la stratégie de sécurité des entreprises, mais les recherches montrent que les approches actuelles ne sont pas très efficaces.
Le phishing est un vecteur d’attaque éprouvé. Ces attaques représentent 15 % de toutes les violations de données, selon IBM. Les responsables de la sécurité sont bien conscients des risques et il est courant que les entreprises fassent suivre à leurs employés une sorte de formation sur le phishing. Mais cette formation ne semble pas rendre les utilisateurs, et par extension leurs employeurs, moins vulnérables.
«Même si nous constatons une plus grande prise de conscience des risques et du danger, nous constatons toujours un nombre croissant d’attaques réussies», déclare Naama Ilany-Tzur, professeur adjoint en systèmes d’information à l’Université Carnegie Mellon.
Il suffit de regarder le volume des attaques de phishing pour savoir qu’il faut faire autre chose. De plus, de plus en plus de recherches montrent à quel point la formation au phishing est inefficace. Qu’en est-il des responsables de la sécurité, qui sont souvent chargés de diriger ces programmes de formation ? Ils doivent évaluer les stratégies actuelles de formation contre le phishing de leur entreprise, considérer les lacunes potentielles et explorer les moyens de modifier leur approche.
Approches courantes de la formation au phishing
La formation annuelle en cybersécurité est un lieu naturel pour la sensibilisation au phishing. Après tout, il s’agit de l’un des nombreux vecteurs d’attaque que les travailleurs très occupés doivent connaître.
« La formation sur le phishing que j’ai suivie au fil des années a toujours fait partie d’une formation générale de sensibilisation à la sécurité », explique Jason Oksenhendler, directeur de la cybersécurité du cabinet de conseil Baker Tilly. « C’est une fois par an via un système de gestion de l’apprentissage. Certaines personnes y prêtent attention, d’autres non. »
De nombreuses entreprises s’appuient également sur une formation intégrée au phishing. Un employé s’engage dans une simulation de phishing, comme ouvrir un e-mail, et il est redirigé vers une page Web proposant des informations et peut-être un quiz sur le phishing.
Il est logique que ces deux approches soient largement utilisées. Les entreprises souhaitent sensibiliser aux problèmes courants de cybersécurité, et la formation intégrée est une intervention ponctuelle. Alors, quel est le problème ?
La formation au phishing offre des avantages minimes
« En gros, nous avons constaté qu’il n’y avait aucune différence dans la susceptibilité au phishing des utilisateurs qui venaient juste de terminer leur formation par rapport à ceux qui avaient terminé la formation il y a longtemps », explique Ho.
Les résultats de la formation intégrée n’étaient guère meilleurs. Les chercheurs ont découvert que 37 à 51 % des sessions de formation ne suscitent aucun engagement des utilisateurs. Ils ferment simplement la page. « Nos résultats suggèrent que la formation telle qu’elle est actuellement déployée aujourd’hui sera certainement insuffisante en elle-même pour protéger les autres contre le phishing et pourrait ne pas apporter les avantages que les gens conçoivent ou attendent qu’elle produise », explique Ho.
Pourquoi la formation est-elle si inefficace ? L’engagement et le comportement des utilisateurs sont de grandes pièces du puzzle. Souvent, les gens ne participent pas à la formation et, même lorsqu’ils le font, ils ne conservent pas très bien les informations.
« La formation n’est qu’une chose de plus à inscrire sur la liste des choses à faire et qui n’est pas facturable », souligne Oksenhendler.
Les gens connaissent le phishing. Ils savent combien de dégâts ces attaques peuvent causer. Mais ils sont occupés à gérer leur propre charge de travail. La formation telle qu’elle existe aujourd’hui est quelque chose qu’ils peuvent soit ignorer, soit se précipiter pour cocher leur liste. Imaginez tous les employés inondés de leur propre travail et d’attaques de phishing incessantes. Il suffit d’un clic distrait.
« La lassitude à l’égard de la cyberformation continue d’exister », déclare Chiranjeev « CJ » Bordoloi, directeur et cofondateur de la National Cybersecurity Society (NCSS). « Lorsque vous ressentez de la fatigue, cela conduit généralement à l’apathie. »
Comment les responsables de la sécurité peuvent repenser la formation sur le phishing
Si la formation était à la traîne auparavant, elle risque de prendre encore plus de retard à mesure que les menaces évoluent. Le phishing ne fait que s’améliorer grâce à l’IA générative. Les responsables de la sécurité ont du pain sur la planche. La formation doit évoluer et elle ne constitue qu’une pièce d’un puzzle culturel bien plus vaste.
« Si les hauts dirigeants et les dirigeants ne sont pas soucieux de la culture de sécurité, cela ne posera pas de problème tant qu’ils ne feront pas la couverture du Washington Post ou qu’ils n’auront pas à payer une amende massive à quelqu’un », déclare Oksenhendler.
Faire passer n’importe quel élément de cybersécurité, formation ou autre, d’une approche cochée à une valeur culturelle intégrée constitue un progrès significatif. Améliorer la lutte contre les attaques de phishing ne consiste pas seulement à obtenir plus d’argent et à obtenir l’adhésion des dirigeants. Il s’agit également de modifier le comportement des utilisateurs individuels, ce qui est sans doute plus difficile.
« Le comportement des utilisateurs n’est pas du tout technique. Le comportement des utilisateurs est préhistorique », explique Bordoloi. « On ne peut pas vraiment changer le comportement des utilisateurs avec une seule séance de formation. »
Ilany-Tzur a mené une étude qui offre un aperçu du comportement des utilisateurs et de leur vulnérabilité aux attaques de phishing. Cette recherche révèle que le type d’appareil joue un rôle dans le comportement des utilisateurs ; Les utilisateurs de PC sont plus susceptibles de faire des choix de clics risqués que les utilisateurs de mobiles. Comprendre comment le comportement des utilisateurs varie selon les appareils pourrait aider les responsables de la sécurité à prendre des décisions plus nuancées concernant la formation et d’autres mesures de protection contre le phishing.
À l’heure actuelle, il n’existe pas de réponse unique qui ouvre la porte au programme de formation au phishing le plus efficace. Mais les experts cherchent. Ilany-Tzur s’intéresse à une perspective comportementale. « Une question clé et intéressante est la suivante : quel est le mécanisme psychologique exact, la conception de l’alternative, qui encouragera les gens à éviter ces risques ? demande-t-elle.
Elle cite les modèles de pensée du Système 1 et du Système 2 décrits par le psychologue Daniel Kahneman, le premier faisant référence à la pensée automatique et émotionnelle et le second à la pensée rationnelle et réfléchie. « Il s’agit de cet état d’esprit automatique et du comportement du Système 1 », explique Ilany-Tzur. « Comment pouvons-nous entraîner les réactions automatiques des utilisateurs à être les bonnes (c’est-à-dire ne pas cliquer sur ce lien suspect) ? »
La réponse à cette question est ouverte. Ilany-Tzur affirme que les utilisateurs doivent apprendre un ensemble simple de comportements sur lesquels ils peuvent s’appuyer suite à une tentative d’attaque de phishing. « Que dois-je faire à ce stade ? Qui dois-je contacter ? Quelle est la hotline pour le signaler ? Quel est le comportement ? » dit-elle. « Je suis conscient du risque, mais quelles sont les mesures faciles à prendre pour faire face à une attaque ? »
Réécrire le comportement humain est une énorme montagne à gravir. Les responsables de la sécurité n’ont pas besoin de prendre leur équipement d’escalade, mais cela ne veut pas dire qu’ils doivent lever les mains et adopter l’attitude selon laquelle une certaine formation, même si elle ne fonctionne pas, est mieux que rien.
La formation au phishing peut changer ; certains éléments indiquent que la gamification de la formation à la sécurité augmente l’engagement des utilisateurs. Les entreprises peuvent rendre cette formation plus interactive et adoucir l’accord grâce à des incitations. « Vous pouvez récompenser les gens avec quelque chose d’aussi petit qu’une carte-cadeau », explique Bordoloi. « S’il y a une attaque majeure contre laquelle on se défend, vous pouvez même récompenser les équipes avec un hors site ou quelque chose d’amusant. »
D’un autre côté, il existe la possibilité d’instaurer des sanctions en cas d’échec répété à suivre ou à réussir une formation sur le phishing. Même si l’approche de la carotte et du bâton présente son attrait, il est également important que les responsables de la sécurité reconnaissent la valeur de leurs approches de formation. Cela n’a pas beaucoup de sens de punir ou de récompenser les gens qui s’engagent dans un programme de formation qui n’est même pas efficace au départ.
Un programme de formation rencontre-t-il les gens là où ils se trouvent ? Est-ce qu’il s’adresse à différents styles d’apprentissage ? Prend-elle en compte la prolifération des modèles de travail à domicile et d’emploi hybride ?
Le travail ne s’arrête pas une fois la formation terminée
La question ultime est la suivante : mon programme de formation au phishing fonctionne-t-il, devrait-il avoir une véritable réponse ou au moins il devrait y avoir un effort pour y répondre. Il y a des mesures à examiner. Les gens terminent-ils la formation ? Combien de personnes tombent ? Les mêmes personnes échouent-elles à plusieurs reprises ? Combien de tentatives de phishing réelles une organisation a-t-elle réussi ou non à stopper ?
Comprendre ce qui fonctionne et ce qui ne fonctionne pas dans ces programmes de formation est un processus continu qui semble nécessiter une refonte en profondeur.
« Il faudra sortir des sentiers battus. Faire exploser la norme et proposer quelque chose de créatif, qui rencontre les gens là où ils sont, ce n’est pas une corvée », déclare Oksenhendler. « Mais cela (devrait) aussi faire comprendre que nous prenons la sécurité au sérieux, et que vous devez donc être sérieux en matière de sécurité. »
La formation peut toujours être améliorée, mais elle ne sera jamais suffisante lorsque les humains, comme le savent tous les responsables de la sécurité, sont la cible la plus vulnérable aux cyberattaques. Et même les meilleures méthodes de formation ne peuvent pas suffire à elles seules.
« La formation au phishing, dans l’ensemble, n’est pas un moyen très efficace de réduire la vulnérabilité d’une organisation aux attaques », explique Ho. « Déployez d’autres mesures, par exemple l’authentification à deux facteurs ou la détection du phishing, pour réellement protéger votre organisation contre ces attaques. »
