Après avoir observé plus de 30 000 simulations d’emails de phishing lancés par la plateforme Arsen, nous avons tiré quelques leçons que nous souhaitions partager.
Un manque de connaissances nécessaires pour détecter la menace
Tous ces tests de phishing nous ont révélé un manque de connaissance conséquent de la part des collaborateurs.
Même si les contenus théoriques sont des éléments nécessaires à l’apprentissage, ils ne suffisent pas pour obtenir une formation de qualité.
Vos collaborateurs doivent percevoir le danger. La majorité des mails de phishing utilisent des techniques d’ingénierie sociale et d’influence pour que la victime n'emploie pas les connaissances théoriques apprises en amont.
Elle se retrouve ainsi dans un schéma de réponses émotionnelles l'entrainant à faire des erreurs.
Cependant, même sans l'utilisation de leviers psychologiques, on observe un manque de connaissance de la part des collaborateurs.
Une partie d’entre eux possède des lacunes dans l’identification des noms de domaines et par exemple, ne comprend pas forcément la notion de "sous-domaine".
Il faut donc expliquer la structure d’une URL et comment appliquer ces connaissances dans l’identification d’un mail de phishing.
Dans les simulations de phishing sur Arsen par exemple, nombre de nos clients ont mis le nom de leur entreprise ou du service pour lequel ils se faisaient passer dans un sous-domaine pour tester leurs collaborateurs
Certains collaborateurs ont considéré le mail comme légitime puisque le nom de l’entreprise était inscrit dans le lien.
Expliquez également à vos collaborateurs la différence entre HTTP et HTTPS. Il y a encore beaucoup trop de personnes qui pensent que l’utilisation du SSL et la présence d’un cadenas vert dans leur barre de navigation signifie que le site est légitime.
Pourtant, le S de HTTPS indique seulement que les données qui transitent entre l’ordinateur et le serveur sont chiffrées mais en aucun cas que le serveur est légitime.
Il faut savoir que des services génèrent gratuitement des certificats SSL. Il est donc très facile pour un pirate informatique d’utiliser du HTTPS dans ses campagnes de phishing.
Les scénarios disponibles sur la plateforme Arsen sont tous HTTPS et permettent donc aux collaborateurs de nos clients d’intégrer rapidement cette notion.
Il est donc judicieux d’entraîner vos collaborateurs sur le sujet et de vérifier si les connaissances sont acquises.
Enfin, on observe un manque général de culture Web. Peu de collaborateurs comprennent les enjeux de se faire voler ses identifiants mails professionnel ou personnel.
Aujourd’hui, si un hacker accède à votre adresse email, il peut avoir accès à la grande majorité de vos comptes : tous ceux qui utilisent une procédure de remise à zéro de mot de passe par email.
Une culture d’entreprise insuffisante pour la cohésion d’équipe
Il n’est pas rare d’entendre les collaborateurs dire que ce n’est pas leur rôle de détecter les menaces, que c’est à la DSI de les protéger, qu’ils n’ont pas le temps ou que s’ils ne cliquent pas c’est suffisant.
Nous allons voir pourquoi chacune de ces affirmations est fausse.
D’une part, lorsqu’un collaborateur considère que ce n’est pas son rôle et que c’est à la DSI ou aux équipes de sécurité informatique (SSI) de le protéger des menaces, cela témoigne avant tout d’une mauvaise culture d’entreprise.
Gérer le risque représente une vraie difficulté lorsque certains employés sont en opposition avec la DSI ou la SSI. Il faut absolument créer une union et que les deux groupes travaillent en collaboration.
La SSI ne doit pas percevoir les collaborateurs comme des individus qui cliquent sans réfléchir et ces derniers ne doivent pas percevoir la SSI comme un frein à la productivité.
L’objectif est de protéger la productivité et le patrimoine informationnel de l’entreprise.
Si l’entreprise se fait rançonner, l’emploi du temps chargé, qui fait que le collaborateur n’a pas le temps de se soucier d’adopter des comportements sécurisés dans son quotidien, devient complètement hors sujet. Le collaborateur qui “n’a pas le temps” ne pourra plus être opérationnel puisque des fichiers seront chiffrés ou une fuite de données aura endommagé l’activité de l’entreprise.
D’autre part, les collaborateurs qui considèrent que s’ils ne cliquent pas, cela suffit à déjouer la menace n’ont pas été assez formés sur le signalement.
En effet, un employé qui passe de vulnérabilité à individu “passif” ne contribue pas suffisamment à la lutte contre le phishing.
Si les personnes ne prennent pas le temps de signaler, ils ne se font certes pas avoir mais leurs collègues restent à risque alors qu’ils pourraient être protégés si la menace avait été signalée.
On passe alors à côté d’une couche de protection supplémentaire.
Les filtres anti-phishing ne suffisent pas à protéger les boîtes mails
Un point qui a généralement été assez intégré est le fait que les filtres ne sont pas performants à 100 %.
Nous possédons tous des filtres anti-phishing et pourtant nous recevons des emails de phishing dans nos boîtes mails.
Les meilleurs systèmes de détection filtrent jusqu’à 92,72 % des emails de phishing. Vu le faible coût d’un email, sur un volume élevé, il y a une grande quantité de menaces qui atterrissent dans nos boîtes de réception.
De plus, les emails qui contournent les filtres sont en général plus travaillés et représentent donc un plus gros danger : le hacker ayant investi des ressources dans le contournement des filtres souhaitant probablement mener une attaque plus ciblée et rémunératrice qu’un vulgaire spam.
D’autre part, peu de filtres anti-phishing fonctionnent si on ne les configure pas ou s’ils ne sont pas maintenus à jour.
Il ne faut pas considérer que mettre en place un filtre anti-phishing suffit : les hackers continuent d’innover sur les techniques d’obfuscation et de contournement de ces protections, votre défense sera donc vite obsolète si elle n’est pas activement maintenue.
Mieux tirer partie des simulations pour mieux sensibiliser
Les tests de phishing simples et les réunions de post-mortem ne suffisent pas à fournir une sensibilisation convenable. Faire un test et expliquer trois semaines plus tard aux collaborateurs qu’ils ont commis des erreurs risque de ne pas améliorer votre protection concrète face au phishing.
Il est intéressant de joindre une sensibilisation le plus rapidement possible après la compromission.
L’individu est plus réceptif et va faire attention aux contenus qu’on lui transmet au moment où il est piégé.
Il faut également avoir en tête que la théorie ne se transfère pas sur la pratique.
Il est fréquent que des entreprises sûres de leur protection car leurs employés ont obtenu de bons résultats à un quiz après un e-learning décident de faire une campagne de phishing et se retrouvent avec plus de 20 % de mots de passe collectés.
Deux anecdotes rencontrées au cours des simulations
Les scénarios d’offres spéciales
Au cours de nos simulations, nous avons utilisé un scénario de phishing imitant un service de streaming qui déclarait que le Comité d’Entreprise du destinataire avait conclu un accord avec la plateforme pour obtenir aux employés de l’entreprise un compte gratuit.
Certains collaborateurs n’ont pas compris l’arnaque et ont même été jusqu’à appeler le service client de la plateforme pour se plaindre de leurs accès qui ne marchaient pas.
La technique du mauvais mot de passe
Avant toute chose, il est important de rappeler que sur la plateforme Arsen nous ne collectons aucun mot de passe pour des raisons de sécurité.
Néanmoins, dans nos carrières respectives, nous avons eu le plaisir de mener des campagnes de phishing avec d’autres outils et expérimenter avec la technique dite “du mauvais mot de passe”.
Le principe était d’envoyer un mail incitant à se connecter de façon précipitée pour changer son mot de passe ou mettre à jour son compte pour maintenir un accès à une application critique.
La page d’identification était codée de manière à afficher le message “mot de passe incorrect” pour n’importe quelle saisie.
Généralement, la réaction de l’individu était de rentrer tous les mots de passe dont il pouvait se souvenir à la chaîne.
En les collectant, il est très facile de comprendre le schéma avec lequel la personne construit ses mots de passe comme les dates et le caractère spécial qu’elle utilise.
Il est ensuite assez simple pour un hacker de générer une liste d’identifiants potentiels afin de réaliser une attaque par force brute.
Conclusion
En conclusion, ces 30 000 simulations nous exposent un constat : l’attaquant possède un coup d’avance.
En revanche, on peut drastiquement améliorer sa résilience face au phishing et la qualité de sa sensibilisation avec des pratiques simples telles que :
- Former les collaborateurs sur les connaissances théoriques qui manquent, régulièrement exploitées par les hackers
- Transposer les modules théoriques en situation pratique, juste après que le collaborateur ait commis une erreur
- Maintenir à jour et configurer correctement ses outils de détection.
