Comment évaluer son risque face au phishing ?

Thomas Le Coz

Thomas Le Coz

Le phishing est le point d’entrée de 90% des cyberattaques aujourd’hui. Cette menace constitue différents risques pour une entreprise, un risque organisationnel, un risque réputationnel, un risque financier et un risque judiciaire.

Il est donc intéressant de se demander comment évaluer le risque d’une attaque de phishing pour son entreprise.

Dans cet article nous allons revenir sur les différents risques que peut engendrer le phishing et vous aider à évaluer l’exposition de votre entreprise face à cette menace.

Un rappel des différents risques liés au phishing

Risque opérationnel

Une chaîne d’assemblage ou une chaîne logistique peut se retrouver inactive si les fichiers de configurations des automates sont chiffrés par un rançongiciel.

Un spyware peut être installé de façon silencieuse sur le réseau interne afin d’espionner l’activité de l’entreprise et récupérer des données sensibles.

À la suite d’une attaque de phishing, la fuite de données sensibles représente également un risque. Des informations sur le positionnement commercial de l’entreprise ou des appels d’offres en cours sont des données précieuses pour des concurrents qui peuvent alors récupérer des contrats vitaux pour l’entreprise.

Risque réputationnel

Lorsqu’une entreprise subit une cyberattaque, son image est forcément impactée. Si la communication de crise est mal gérée, les clients peuvent perdre confiance sur la sécurité de la société et sa capacité à opérer dans le cadre des contrats qu’ils ont avec elle.

Fidéliser ou attirer des talents devient aussi plus difficile lorsqu’une entreprise fait la une des informations à propos d’une faille de sécurité ou la publication d’informations personnelles de ses collaborateurs.

Risque financier

Dans une cyberattaque, il n’y a pas que la rançon du ransomware qui va coûter de l’argent mais aussi la justice. Des sanctions juridiques peuvent survenir si l’attaque révèle un manque de sécurité numérique menaçant les données des clients.

Les fichiers ou logiciels d’une entreprise peuvent être chiffrés via un ransomware, une rançon est alors demandée par les opérateurs si elle souhaite récupérer la clé de déchiffrement.

Enfin, l'impact réputationnel peut entraîner des pertes de contrats. D’autres peuvent être annulés car ils peuvent contenir une clause faisant référence à sa résiliation si une fuite de données sensible venait à survenir.

Risque juridique

Des sanctions juridiques peuvent survenir si la CNIL considère que l’entreprise a été négligente dans la sécurisation de ses données. En 2018, Uber avait d’ailleurs été condamné à payer 400 000 euros d’amende à la suite d’une fuite de données sensibles qu’avait subi l’entreprise. La commission nationale avait estimé qu’Uber négligeait la protection des données de ses utilisateurs.

Justice : risque juridique

Évaluer l’exposition de son entreprise face au phishing

Ces différents risques conduisent les entreprises à s’interroger sur leur exposition face au phishing. Les tests de phishing et le red teaming sont deux approches qui vous aident à l’évaluer par la pratique.

La red team : une évaluation des systèmes de protection

La red team cherche à entrer dans le système d’information de l’entreprise comme le ferait un attaquant : on ne va donc pas lui ouvrir les portes ou la whitelister quand elle souhaite envoyer des mails de phishing. Leur travail est de contourner les systèmes de détection et de protection.

Il faut bien se rendre compte que les systèmes de protection contre le phishing sont déjouables. Même si la majorité des menaces n’arrivent pas à passer outre, un hacker déterminé arrivera à déjouer vos filtres anti-phishing sans trop de difficultés.

Les meilleures technologies de filtrage détectent aujourd’hui les emails de phishing avec une précision de 92,72%. Cela laisse tout de même passer 7,28% d'e-mails malveillants. Sur des échantillons assez large, cela représente une quantité assez importante de menaces potentielles.

Les tests de phishing : évaluer le comportement des collaborateurs

À contrario, les tests de phishing sont préalablement autorisés auprès des filtres anti-phishing. Leur objectif n’est pas d’évaluer les systèmes de détection mais l’élément humain qu’ils protègent. Les mails se retrouvent donc directement dans la boîte de réception du collaborateur, comme s’ils avaient déjoué vos protections.

Les deux solutions sont intéressantes puisqu’elles évaluent la sécurité numérique de l’entreprise sur différents aspects. Néanmoins, le test de phishing évalue votre dernier rempart une fois que la menace a contourné les protections. C’est pourquoi il est primordial d’entraîner ses collaborateurs à signaler cette dernière.

Réaliser un premier test de phishing comme benchmark vous permet d’avoir une idée des risques que représente le phishing pour vos collaborateurs et votre entreprise.

Les métriques intéressantes à analyser dans un test de phishing

Lorsque vous réalisez un test de phishing, différentes données sont intéressantes à prendre en compte : le taux de clic et de compromission, les temps moyens et médians ainsi que la sensibilité au prétexte utilisé pour le phishing.

Graphique analyse KPI

Les taux de clic et de compromission vous permettent d’avoir une idée de la performance globale de vos collaborateurs.

Les temps moyens et médians représentent le temps entre l’envoi du mail et la compromission. Ce sont des données intéressantes car beaucoup d’individus vont être très réactifs dans leur boîte mails et vont commettre des actions dangereuses dès la réception du mail.

Ces temps permettent de comprendre le comportement et la vitesse à laquelle vous pouvez vous faire pirater.

Enfin, toutes les attaques ne sont pas égales. La sensibilité au prétexte utilisé est donc une donnée intéressante puisqu’un prétexte ne va pas être aussi efficace selon les populations testées.

Un membre du service RH aura tendance à cliquer davantage sur un CV en pièce jointe qu’un membre de la direction financière par exemple.

Le hacker réalise des attaques ciblées : il n’utilisera pas le même mail selon le métier de la personne qu’il souhaite compromettre.

Les actions correctives à mettre en place

Une fois que vous avez évalué le risque que représente le phishing, il est temps de mettre en place des actions correctives.

Un programme de sensibilisation complet

Premièrement, il faut réaliser des campagnes de sensibilisation contre le phishing de façon récurrente. La courbe de l’oubli illustre la nécessité de faire des rappels pour qu’une information soit bien intégrée.

Image de calendrier avec punaise

Il ne faut pas tester une seule fois dans l’année faute de quoi vous allez observer les réflexes de vos collaborateurs disparaître petit à petit au cours de cette dernière.

Ensuite, les contenus d’apprentissage doivent être cohérents avec les mails de phishing qu’ils peuvent recevoir dans leur boîte mail.

Des contenus théoriques pertinents par rapport à l’attaque simulée qu’ils viennent de subir seront bien plus appropriés et généreront plus de valeur que si vous délivrez le même contenu générique et non contextualisé à tous vos collaborateurs.

La culture d’entreprise est également une notion importante à améliorer. Vous pouvez mettre en avant les individus qui ont les meilleurs résultats afin qu’ils accompagnent leurs collègues.

Pratiquer le peer learning avec des collaborateurs en interne aura plus d’impact que si ce sont toujours les membres du service SSI qui sensibilisent.

Il ne faut pas scinder l’entreprise en deux camps, le service sécurité et les collaborateurs testés. La SSI ne doit pas être perçue comme une barrière à la productivité mais plutôt comme un soutien et une aide dans la lutte contre le phishing.

Côté SSI, il ne faut pas voir les collaborateurs comme des individus incapables de détecter la moindre tentative de manipulation. L’objectif est de créer une coopération entre les collaborateurs qui permettent la détection et le signalement de tentatives de phishing et un support dans la lutte contre le phishing de la part du service SSI.

Enfin, il faut mettre l’accent sur les éléments à risques. Parfois les contenus théoriques et les tests de phishing ne suffisent pas à sensibiliser les collaborateurs représentant le plus gros danger.

Vous pouvez alors faire appel à des intervenants extérieurs pour aider les groupes représentant un risque élevé à améliorer leurs résultats lors des simulations d’attaque de phishing.

Un entraînement continu pour une meilleure protection

Il est nécessaire de mettre en place un entraînement continu pour avoir une meilleure prévention de ces risques.

D’une part, les programmes d’entraînements doivent être mis à jour régulièrement pour être conformes aux nouvelles attaques utilisées par les hackers.

Par exemple, Google impose l’authentification multifactorielle sur ses différents comptes, tout comme beaucoup d’entreprises. Ainsi, les techniques de credential harvesting vont évoluer pour contourner ces protections.

Il est donc intéressant d’adapter ses simulations pour se conformer aux attaques que pourront subir vos collaborateurs.

Si demain l’email n’est plus utilisé, les hackers trouveront toujours un nouveau canal de communication par lequel tenter de manipuler le collaborateur.

D’autre part, il faut sensibiliser par la pratique : la théorie ne se transpose pas dans les situations de manipulations où des leviers psychologiques sont utilisés pour modifier le schéma de réponse du collaborateur. Ce dernier n’est alors pas en capacité d’utiliser ses connaissances théoriques pour déjouer les attaques.

Conclusion

Évaluer son risque face au phishing est extrêmement important pour commencer à la maîtriser.

Il faut mesurer le retour sur investissement de vos actions, sinon c’est non seulement une perte de temps mais surtout un risque non maîtrisé.

C’est pourquoi une simulation réaliste reste la meilleure façon d’évaluer l’exposition de son entreprise face au phishing.

Les systèmes de protection n’arriveront jamais à filtrer à 100% les menaces. Il est donc nécessaire de mettre en place un programme de sensibilisation complet pour entraîner vos collaborateurs.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.