Dans cet article, nous allons voir les limites des différentes solutions de sensibilisation. L’objectif n'est pas de décrier ces types de solutions, mais de présenter les parties manquantes de manière à ce que vous puissiez soit les combler, soit opter pour une solution plus complète. Il est bien entendu préférable d’avoir une solution de sensibilisation en place plutôt que rien du tout.
Beaucoup d’entreprises considèrent que le phishing n'est pas un danger pour elles. Ce constat est un des principaux problèmes du marché aujourd'hui, car les employés deviennent plus vulnérables rendant le métier de hacker plutôt attractif.
Nous allons donc s’intéresser à trois types de solutions, l’e-learning, les tests de phishing et les solutions “maisons” sur mesure.
Pourquoi les solutions d’e-learning & LMS ne suffisent pas ?
Le manque d’engagement
Les solutions E-learning ou LMS sont très populaires en entreprise. Il s’agit d’un apprentissage en ligne à travers des modules de 45 minutes, avec bien souvent un certificat qui permet de prouver qu’on a suivi la formation.
Le premier problème de ce format, c'est le manque d'engagement. D'un point de vue retour sur investissement, vous allez passer du temps à relancer les collaborateurs pour qu'ils s'engagent et suivent le programme. Il est possible de se partager les réponses aux différents QCM et donc de contourner l’apprentissage.
Certains collaborateurs considèrent ces programmes comme une contrainte et une perte de temps. Avec le temps, certaines solutions ne sont même plus utilisées entraînant une perte sèche d’argent pour l’entreprise. Dans d’autres cas, le service sécurité, RH ou communication est obligé de faire des mails de relance, du temps qui pourrait être accordé à d’autres tâches.
Un ROI difficilement mesurable
Le deuxième problème est le retour sur investissement qui est difficile à mesurer. La théorie diffère de la pratique, ce n’est pas parce qu’on a reçu la note de 5/5 à un QCM qu’il sera facile de détecter un email de phishing.
Si l’on demande à des collaborateurs s’ils ouvriraient une pièce-jointe d’un destinataire inconnu, tout le monde vous répondra non. Néanmoins, sur des individus ayant été sensibilisés et ayant validé des modules d’e-learning, en simulation on collecte entre 10 et 20% d’identifiants lors de nos tests.
Il est important de ne pas négliger l’ingénierie sociale présente dans les mails de phishing : ces techniques de manipulation jouent par exemple sur le désir de plaire ou de se conformer.
En utilisant ces leviers psychologiques, on modifie totalement le schéma de réponse de l’individu, ce qui n’est pas le cas lors d’un enseignement théorique.
Durant un e-learning, le collaborateur s’attend à se faire piéger, il est au courant qu’il y a une bonne et une mauvaise réponse. Lorsqu’elle vide sa boîte de réception, elle n’est pas dans le même état d’esprit.
Ce type de solution ne permet donc pas de mesurer le retour sur investissement et confronte la personne à une situation qui n’est pas réaliste.
Les tests de phishing, un usage généralement pas optimisé
Des tests peu récurrents
Même si certaines solutions de tests de phishing proposent une interface simple et rapide, du temps est nécessaire que ce soit pour analyser les résultats des campagnes ou pour trouver l’inspiration dans la création de scénario de phishing sur mesure.
La peur d’une mauvaise acceptation de la part des ses collègues si l’on effectue trop de tests est un autre frein. Il ne faut pas que les tests soient perçus comme des contraintes mais comme un véritable apprentissage.
La courbe d’Ebbinghaus illustre parfaitement la nécessité d’établir des rappels pour lutter contre l’oubli.
La courbe de l'oubli d'Ebbinghaus
Un manque de pédagogie
Avec des noms de domaine de qualité et un email personnalisé, il est très facile de piéger vos collaborateurs.
Il ne faut pourtant pas perdre de vue l'objectif d’apprentissage, le but n’est pas de piéger vos collègues mais de leur apprendre quelles sont leurs erreurs et à ne pas les reproduire.
Beaucoup d’entreprises décident de ne faire que quelques campagnes dans l’année et donc pour rentabiliser leurs simulations, elles testent directement tout leur effectif.
Un hacker ne procédera jamais de cette manière, il va préférer attaquer quelques boîtes de réception et garder les autres pour de potentielles futures mails.
De plus, on ne teste pas le service RH de la même manière qu’un service commercial.
Différents contextes doivent être utilisés en fonction des profils ciblés. En testant toute l’entreprise, votre campagne ne sera ni pertinente ni réaliste et les résultats obtenus ne seront pas fiables.
Pas d’entraînement au signalement
Nombreuses sont les solutions qui ne permettent pas d'entraînement au signalement. Notre mission chez Arsen, c'est de transformer les collaborateurs d’une potentielle vulnérabilité à de véritables alliés dans la lutte contre le phishing.
En n’entraînant pas les collaborateurs au signalement, vous limitez les effets positifs de l’entraînement.
Un collaborateur “A” qui a compris qu’il avait reçu un mail de phishing mais qui n’effectue pas de signalement empêche le proxy de l’entreprise de bloquer le domaine ou toute autre procédure de sécurité qui aurait pu être déclenchée.
Pendant ce temps, un collaborateur “B” moins attentif peut se faire avoir et transmettre ses identifiants.
On peut considérer que le collaborateur “A” a été passif dans la lutte contre le phishing, alors que nous souhaitons former des personnes actives dans cette défense.
Il est donc nécessaire que les solutions de test de phishing permettent le signalement pour optimiser l’entraînement.
Les solutions maisons, un engagement fort souvent coûteux
L’avantage de ces solutions est qu’elles sont généralement adaptées au contexte de l’entreprise et de ses collaborateurs. Elles permettent d’avoir un engagement fort avec une grande pertinence dans le type de contenu présenté.
Des coûts sous-estimés
En revanche, les ressources déployées sont généralement sous-estimées.
La mobilisation des ressources humaines ou le coût des ressources externes — comme par exemple un spécialiste de la cybersécurité — représentent généralement des coûts élevés.
Un ROI toujours pas mesurable
Si ces solutions maisons ne permettent pas la simulation de phishing, il est difficile d’évaluer le retour sur investissement. Il est intéressant d’évaluer si des collaborateurs à l’origine vulnérables au phishing sont devenus de véritables acteurs de la défense de l’entreprise.
Conclusion
Malgré le nombre conséquent de solutions présentes, peu permettent réellement de résoudre le problème du phishing.
À la lumière des points évoqués, vous pouvez ajuster l’utilisation de votre solution, en intégrant par exemple des tests de phishing.
Vous pouvez également nous contacter afin de discuter de votre solution de sensibilisation.
Nous en éditons une qui permet de former correctement et efficacement vos collaborateurs.
Notre objectif est d’améliorer votre résistance au phishing et de transformer votre effectif en un véritable firewall humain.
