Aujourd'hui, assez d'entreprises ne testent pas, n'entraînent pas ou ne sensibilisent pas assez fréquemment leurs collaborateurs pour rendre le métier de hacker attractif.
En effectuant une campagne par an ou tous les six mois, vous n’êtes pas à jour sur l'écosystème, les menaces et les scénarios d'attaques.
Dans cet article, nous allons parler de fréquence, de réalisme, de contenu théorique et d’andragogie afin d’améliorer l'efficacité de vos programmes de sensibilisation.
I) La fréquence : facteur clé souvent négligé
Lutter contre l'oubli
Il est important de programmer des tests de phishing fréquemment pour lutter contre le courbe de l’oubli.
Maintenir le niveau d’attention est primordial : il faut que vos collaborateurs soient continuellement sur leur garde, quitte à ce qu’ils soient un peu paranoïaques.
L’objectif est d’avoir une participation active de la part des collaborateurs dans la lutte contre le phishing, notamment à travers le signalement de mail de phishing.
Effectuez fréquemment des tests de phishing afin qu'ils se demandent en permanence si l’email en face d’eux correspond à un email de phishing ou un exercice de faux-phishing.
Il faut avoir en tête que “practice makes permanent” et non pas “practice makes perfect”, en répétant régulièrement vos exercices, des réflexes vont se créer mais assurez-vous que les réflexes que vous entraînez soient les bons.
Avec le temps, ils s’appliqueront même lors d’une situation où des leviers psychologiques sont utilisés pour tenter de manipuler vos collaborateurs.
Ajouter de l’aléatoire pour éviter la sur-spécialisation
Faire une campagne tous les mois, c’est bien mais si c’est tous les premiers lundis du mois, vos collaborateurs vont vite reconnaître le schéma et vos exercices ne seront plus du tout efficaces.
Le jour, l’heure d’envoi et le nombre de campagnes sur le mois sont des paramètres qui doivent varier, faute de quoi vos collaborateurs seront entraînés à détecter vos simulations, pas des emails de phishing qui n’arrivent pas selon un calendrier régulier.
Alternez : un mois vous pourrez les entraîner une seule fois, le suivant deux fois.
Pour vous aider dans le choix des horaires, nous avons écrit un article sur les créneaux les plus intéressants à utiliser pour vos simulations de phishing.
Ne pas sur-solliciter pour garder un engagement positif
Tester fréquemment oui, mais pas les mêmes personnes. Il ne faut pas sur-solliciter, même si vous avez des groupes VIP qu’il est plus important d’entraîner.
Il risque de se produire l’effet inverse, les collaborateurs vont se braquer, se sentir harcelés et vont perdre de l’engagement dans la formation.
Évitez de sensibiliser trop fréquemment les mêmes personnes. Un bon rythme se situe entre une fois tous les deux mois jusqu’à une fois toutes les semaines pour les utilisateurs les plus critiques. Nous avons écrit un article sur le sujet : À quelle fréquence mener des simulations de phishing ?
II) Réalisme : entraîner contre les menaces d’aujourd’hui
Ne pas tomber dans le piège des scénarios de faible qualité
Trop peu de campagnes sont réalistes, ce qui nuit directement à l’efficacité de la sensibilisation. Une mise en situation, face à des scénarios réalistes, utilisés par les hackers aujourd’hui est nécessaire pour un entraînement optimal.
Lorsque l’on est en face d’un email de phishing, des leviers psychologiques et de l’ingénierie sociale sont utilisés pour inciter et influencer nos actions.
Une fois que l’on utilise une solution de mise en situation, il faut s’intéresser à la qualité des situations proposées.
En effet, même si des scénarios de phishing de faible qualité peuvent être un outil pédagogique, par exemple pour redonner confiance aux collaborateurs en leur capacité de détection, il est important de privilégier les simulations d’attaques réalistes qui reflèteront plus précisément les menaces que votre entreprise pourra rencontrer.
Oui, le colis bloqué à La Poste a peu de chance de convaincre la victime de donner ces identifiants professionnels, mais pouvez-vous en dire autant d’une invitation à une réunion Teams comportant les noms et prénoms de l’ensemble des employés de son service ?
Ce sont rarement les attaques peu sophistiquées qui réussissent, d’où l’importance d’avoir des scénarios de phishing réalistes.
Les mails comportant des fautes d’orthographes avec un motif surréaliste comme par exemple un héritage ne sont pas utiles dans la lutte contre le phishing, bien au contraire.
Ces arnaques faciles à détecter permettent d’une part aux hackers de trouver des cibles crédules mais surtout, elles permettent de faire baisser leur garde aux personnes qui les reçoivent.
En ouvrant ces tentatives de phishing, la personne se dit “c’est assez simple de détecter du phishing donc je ne me ferai jamais avoir”.
Néanmoins, lorsqu’ils reçoivent une attaque élaborée, ils ne sont pas assez préparés et considèrent le mail comme légitime puisqu’il n’a presque rien à voir avec les mails de phishing qu’ils ont l’habitude de recevoir.
Taille de l’effectif : personne n’attaque tout une société d’un coup
N’envoyez pas vos simulations à tout votre effectif d’un seul coup, c’est une erreur encore trop fréquente en entreprise. Les collègues échangent entre eux et finissent par compter les uns sur les autres.
Sauf que dans une attaque réelle, le hacker va chercher à ne pas éveiller les soupçons et donc va cibler seulement quelques comptes.
Varier les niveaux de difficultés pour maintenir l’engagement
Enfin, il faut éviter d’enchaîner les scénarios trop difficiles. L’objectif n’est pas de piéger ses collègues mais qu’ils apprennent de leurs erreurs.
Ajoutez un peu de pédagogie en vous focalisant sur un ou deux indices jusqu’à ce qu’ils soient bien intégrés.
Les collaborateurs doivent apprendre à survoler les liens et vérifier un nom de domaine avant de recevoir des tests de phishing comportant un niveau de complexité plus élevé comme par exemple, un nom d’expéditeur reprenant le nom d’une personne de l’entreprise.
Si on cherche vraiment à piéger quelqu'un, on y arrive. Mettre sans cesse des scénarios trop difficiles tout le temps peut casser l'envie d'apprendre et la sensation de progression chez le collaborateur.
Il peut se décourager et décider qu’il ne sera jamais capable de détecter un email de phishing, soit avoir un comportement contre productif en simulation et rendre sa formation plus difficile.
III) Savoir distribuer et engager sur le contenu théorique
Réduire la friction pour gagner du temps et de l’engagement
En matière de cybersécurité, les LMS traditionnels représentent essentiellement une approche par la conformité plus que la réduction du risque pratique.
Premièrement, il y a encore trop de friction, il faut se connecter sur une plateforme en ligne, chercher le module à valider puis suivre 45 minutes de SCORM. La procédure est bien trop longue.
À l’inverse, vous pouvez opter pour un apprentissage qui apparaît dès la compromission. Il est directement inséré dans l’expérience du collaborateur et peut être adapté pour qu’il corresponde à l’erreur effectuée par ce dernier en simulation.
L’objectif est de réduire la durée nécessaire à la formation tout en générant plus d’engagement dans l’apprentissage. L’utilisateur perçoit moins la formation comme une contrainte, il gagne du temps pour ses autres tâches et l’apprentissage est contextualisé et focalisé sur l’essentiel.
Contexte & Cohérence : le collaborateur doit pouvoir se projeter
Le contexte et la cohérence des contenus doivent également être améliorés. Ils sont encore trop génériques et ne correspondent pas toujours avec le métier ou l’environnement du collaborateur.
Un employé du service logistique qui s’occupe d’une chaîne de production pouvant être rançonnée, qui reçoit un contenu sur les dangers de se faire hacker le compte Twitter n’est pas du tout dans le bon contexte.
Il faut que les contenus théoriques soient cohérents par rapport à son métier, tout comme les tests de phishing.
IV) Andragogie : mieux apprendre aux adultes
L’andragogie, ou la pédagogie pour adulte, a été popularisée par Malcolm Knowles à la fin de la Seconde Guerre mondiale.
Knowles considère que l’apprentissage de l’adulte diffère de celui de l’enfant sur plusieurs points.
Premièrement, l’adulte a besoin de comprendre l’objectif de la formation et de percevoir la valeur à acquérir.
Pour l’adulte, l’expérience est la base de l’apprentissage, un milieu expérientiel est nécessaire, d’où l’importance des mises en situation dans l’entraînement contre le phishing.
S’il est présent dans la mise en place du processus, son implication sera d’autant plus importante. Vous pouvez gamifier la formation en organisant des compétitions entre les services avec des prix pour les groupes ayant obtenu le meilleur score de sécurité.
Il faut également que l’adulte perçoive de l’utilité, ce que la formation va lui apporter dans sa vie professionnelle et personnelle.
Enfin, l’adulte est bien plus motivé lorsqu’il fait face à des facteurs intrinsèques que des exhortations externes. Le service RH qui relance le collaborateur pour qu’il valide son e-learning aura ainsi peu d’impact sur sa motivation à suivre la formation.
V) Améliorer la culture pour combattre le phishing “main dans la main”
Il est nécessaire d’améliorer la culture de l’entreprise sur les questions de sécurité numérique. Le collaborateur doit intégrer la valeur perçue de la sensibilisation comme un impact professionnel et personnel conséquent.
Il est préférable que le test de phishing soit perçu comme un jeu plutôt qu'un instrument de flicage. La perception du RSSI joue également un rôle dans l’engagement. Il faut qu’il soit considéré comme un véritable allié et une ressource dans la lutte contre le phishing et non comme une personne qui met des brides constamment.
Une collaboration au sein de l’entreprise est plus que nécessaire. Dans le cas contraire, vous serez handicapé face aux attaquants.
VI) Ajouter de l’humain pour améliorer la transmission de connaissances
Pratiquer le peer learning — apprentissage par les pairs — est une solution adéquate pour améliorer la culture d’entreprise.
Faire appel à des intervenants extérieurs permet de faire varier le format de communication.
Si ce sont toujours les mêmes individus qui communiquent à propos de la cybersécurité, les collaborateurs peuvent saturer et finir par ignorer les enjeux présentés.
Une personne externe à l’entreprise, qui explique qu’il a vu des cas graves, des entreprises tomber, des mises sous rançon ou encore des vies privées totalement exposées sur Internet à cause du manque de sensibilisation risque d’avoir plus d’impact qu’un membre de la SSI dont c’est le message habituel.
Vous pouvez aussi faire appel à des ambassadeurs internes, prendre les bons élèves qui performent bien et sont intéressés par le sujet de la cybersécurité pour les transformer en référents SSI internes.
Leur rôle sera d’aller conseiller leurs pairs sur les bonnes ou mauvaises pratiques, leur expliquer comment ils procèdent pour faire partie des meilleurs éléments. Leurs paroles seront plus facilement écoutées car ces ambassadeurs sont plus proches des personnes que vous souhaitez sensibiliser.
Conclusion
En conclusion, pour qu'elle soit efficace, il faut repenser la sensibilisation. Un test de phishing dans l’année à l’occasion du cyber mois n’est vraiment pas suffisant.
Dans le jeu du chat et de la souris, l’avantage est clairement à l’attaquant.
En variant les vecteurs, les formats et en choisissant des contenus adaptés vous augmenterez considérablement l’impact de votre apprentissage sur vos collaborateurs.
