15 mai 2020
Dans son rapport State of the Phish 2022, Proofpoint, un des leaders dans le domaine de la cybersécurité et de la conformité, dévoilait que 80% des organisations interrogées en France ont été confrontées à au moins une attaque de rançongiciel via des emails. Par ailleurs la société a interviewé plus de 1000 RSSI français dans le cadre d’un sondage*, identifiant ainsi que 61% considèrent que l'erreur humaine est la plus grande vulnérabilité cyber de leur organisation.
Ainsi, de plus en plus d’entreprises simulent des campagnes de phishing pour sensibiliser leurs collaborateurs. Ces simulations sont pourtant difficiles à maîtriser et peuvent parfois causer plus de mal que de bien.
Lors de missions que nous réalisons chez nos clients, lorsque le sujet du phishing est abordé, nous avons pu constater deux phénomènes :
Cette réticence peut venir des équipes des ressources humaines ou de la communication, craignant la réaction des collaborateurs, ou des équipes de sécurité, pouvant souffrir d’une moins bonne d’image : la sécurité informatique étant souvent perçue comme un frein à l’activité.
Réaliser une campagne de phishing est relativement simple, de nombreux outils ou services managés étant disponibles sur le marché. Mais si la campagne est réalisée de façon unitaire, il y a de fortes chances pour qu’elle soit inutile. En effet, il ne faut pas oublier que la campagne de phishing doit faire partie intégrante d’un plan de sensibilisation, dont l’objectif est de faire monter les collaborateurs en compétences, et non juste de pointer leurs lacunes à un instant T.
Ce constat nous a amenés à réfléchir à la problématique suivante : comment réussir une campagne de phishing ?
1. Construire un plan de sensibilisation avant de planifier une campagne de phishing
La sensibilisation des utilisateurs ne doit pas reposer sur un seul vecteur, et ce pour plusieurs raisons :
✔ Nous n’apprenons pas tous de la même façon.
✔ Diffuser le même message via des vecteurs différents permet de susciter l’intérêt.
✔ La campagne de phishing est plutôt un vecteur de contrôle qu’un vecteur d’apprentissage.
Ainsi, il faut s’assurer que la campagne sera précédée et suivie d’autres actions qui permettront aux collaborateurs d’appréhender le risque phishing, de savoir comment le détecter et comment y réagir.
2. Prévenir les collaborateurs
D’instinct, les entreprises ont tendance à ne pas prévenir les employés de la réalisation d’une campagne de phishing, de peur de fausser les résultats : c’est une erreur !
Ne pas communiquer en amont, c’est prendre le risque de mettre les collaborateurs en état d’échec et de faire naître de la résistance vis-à-vis de la cybersécurité. Il est important d’être transparent sur l’existence des tests et des raisons pour lesquelles ces tests sont mis en place : aider les collaborateurs à progresser et à participer à la défense du patrimoine de l’entreprise. L’objectif étant d’obtenir une sensibilité et une veille collective contre les risques liés au phishing et non l'opposition des collaborateurs contre l'équipe sécurité. C’est d’ailleurs l’une des raisons pour laquelle dire que le problème est « entre la chaise et le clavier » est contreproductif. De plus, les prévenir peut également permettre d’augmenter leur vigilance au quotidien.
3. Inclure les responsables de l'organisation
Il est également nécessaire de s’assurer du soutien du management. Celui-ci ne doit pas être évincé de la campagne et la direction doit s'impliquer dans la communication auprés des collaborateurs en leur partageant leur vision de cet enjeu stratégique. Les collaborateurs se sentiront davantage impliqués et concernés en étant au coeur de cette vision. Pour cela, le comité exécutif peut participer à la communication des résultats ou à des communications sécurité.
4. Choisir un scénario adapté
1. Ne pas sanctionner ou dévoiler les collaborateurs ayant été « phishés»
Il serait contreproductif de sanctionner des collaborateurs ayant été « phishés » et de communiquer leurs noms en interne. Au-delà du climat hostile que ce genre de pratique instaure, le risque serait qu’à l’avenir, les collaborateurs n'alertent pas en cas de doute sur un email frauduleux ou en cas d’incident de sécurité, par peur d’être sanctionnés. Cela vient à l'encontre de la culture sécurité que nous essayons de développer : vigilance et alerte.
Même une sanction « utile » telle que l’obligation de suivre une formation en cas d’erreur lors d’une simulation n’est pas recommandée. En effet les collaborateurs pourraient voir la formation comme une punition, ce qui ne serait pas forcément efficace.
À l’inverse, il peut être envisageable de récompenser le département ayant le mieux réussi le test : cela instaure un esprit de compétition bienveillante entre les salariés. Certains pourraient penser que les résultats sont ne sont pas fiables dans le cas où les collaborateurs s’avertissent en cas de détection d’un email de phishing. En réalité, ce risque demeure assez minoritaire et cela ne doit pas être vu comme un effet négatif de la campagne. Au contraire, c’est un des bénéfices recherchés car les collaborateurs se transmettent leurs connaissances et leur compréhension des risques liés au phishing.
2. Communiquer les résultats
Tout en les rendant anonymes, il est primordial de communiquer sur les résultats. Une communication alarmiste desservirait le propos : le marketing de la peur ne fonctionne pas. La communication doit inclure une explication sur les moyens de détection du phishing avec un lien de redirection vers un espace dédié, pour retrouver plus d'informations.
3. Ne pas se focaliser sur les statistiques
L’un des avantages de la campagne de phishing (et c’est ce qui fait sa popularité), est qu’elle permet d’obtenir des résultats mesurables. Cependant, il ne faut pas tomber dans le piège des chiffres et se focaliser sur le nombre d’utilisateurs « phishés » :
L’un des indicateurs qu’il est particulièrement important de regarder est le taux d’alertes. C’est ce que nous attendons des utilisateurs : qu’ils alertent en cas d’email suspect. Pour cela, il est intéressant d’inclure le support IT dans la préparation de la simulation, en même temps que les responsables de l’organisation.
4. Former les collaborateurs et… recommencer !
Une fois la campagne terminée, et les résultats diffusés, il faut poursuivre la sensibilisation des collaborateurs aux risques liés au phishing. Pour s’assurer que les actions de sensibilisation mises en place sont appréciées et acquises par les collaborateurs, il faut consolider des indicateurs d’adhésion. Si ces derniers ne sont pas satisfaisants, nous pouvons alors adapter les vecteurs de sensibilisation choisis.
D’ailleurs, pour que les messages transmis soient plus impactants, nous conseillons toujours de faire des parallèles entre la vie personnelle et professionnelle des collaborateurs. C’est d’autant plus vrai à propos du phishing car il peut cibler aussi bien les professionnels que les particuliers. Enfin, pour plus d’efficacité, il est nécessaire d’effectuer régulièrement des simulations. Une fois que les résultats de la simulation s’améliorent, le niveau de complexité peut être augmenté.
Pour conclure, il semble important de revenir sur le fait que la campagne de phishing est un outil qui ne doit pas être utilisé comme une action de sensibilisation : c’est avant tout un vecteur de contrôle. De plus, les menaces évoluant sans cesse, la sensibilisation des collaborateurs doit suivre un processus d’amélioration continue. Au moyen d’actions de sensibilisation régulières et variées, les collaborateurs auront les capacités de monter en compétences sur ces sujets.
En outre, des vecteurs de contrôle comme la campagne de phishing doivent être utilisés pour s’assurer de l’efficacité de la stratégie de sensibilisation. Toujours dans un esprit d’amélioration continue, ils doivent aussi adresser les nouvelles menaces : smishing (phishing SMS), vishing (par téléphone), contamination des clés USB, etc.
Notes
*Proofpoint 2022, Voice of the CISO