Comment sensibiliser ses employés aux risques de phishing ?

Une imprudence de la part des employés, en ouvrant un courriel contenant un virus, peut coûter cher à la société. Citons entre autres le vol d’information, la diffamation de l’image de marque au profit de la concurrence ou encore le détournement des fonds de l’entreprise. La menace est de plus en plus grande compte tenue du fait que les techniques de phishing évoluent avec l’avènement de l’ère numérique. À cet égard, il est important d’encourager la prise de conscience de vos collaborateurs à travers une campagne de sensibilisation. Tour d’horizon sur les techniques à adopter pour réussir votre campagne ainsi que les solutions de défense les plus efficaces pour sécuriser votre système informatique.

Bien comprendre le concept du phishing

Phishing, filoutage et hameçonnage : voilà trois mots qui désignent tous un acte de cyber-malveillance. Le phishing est une technique de piratage apparue il y a près d’une vingtaine d’année, mais qui représente aujourd’hui encore 90% des attaques ciblées. D’après les études menées par Verizon, l’hameçonnage est même en forte recrudescence en France depuis ces dernières années. Ceci s’explique par l’expansion des réseaux sociaux et l’abondance des informations qui y sont diffusées. De plus, en 2015, les cybers-escrocs ont réussis à développer des techniques d’ingénierie sociale pour inciter les employés au sein des entreprises à cliquer. Pour être plus précis, le phishing joue sur les failles du facteur humain plutôt que sur des faiblesses technologiques.

Les entreprises, cibles potentielles du phishing

Les hameçonneurs ont toujours eu pour objectif d’engranger un gain financier considérable à leur victime et leurs potentiels cibles sont les entreprises. D’une autre part, le filoutage peut aussi être mis au point par la concurrence afin de ternir la réputation d’une autre entité. Le principe est simple : « pêcher » les informations d’identifiants afin de les exploiter.

L’hameçon utilisé est un leurre crédible et adapté à la cible tel qu’un message d’apparence respectable, aux couleurs de l’organisation. Cela peut aussi être un courriel de documents financiers ou encore relatif à la livraison de colis. Selon l’institut Ponemon, une entreprise de taille moyenne, victime d’un phishing, peut perdre environ 4 millions de dollars par an. Voilà la raison pour laquelle il est important d’investir dans un système pédagogique qui vise à « forcer » la prise de conscience des salariés.

Les campagnes de sensibilisation : une stratégie efficace pour se prémunir du phishing

Que vous soyez dirigeant ou responsable de la gestion des risques, une stratégie de sensibilisation à la cybersécurité est de mise pour protéger votre enseigne du phishing. À cet égard, des missions de simulation sont à mettre en place. Seulement sachez que ces techniques sont susceptibles de générer certaines réticences vis-à-vis de vos collaborateurs. Ainsi, il est important de savoir élaborer une approche en amont et en aval. Cela afin que la sécurité informatique ne soit plus considérée comme un obstacle à leur activité.

Les actions de sensibilisations aux risques de phishing à mener en amont

Élaborer un plan avant de mettre en œuvre un projet de limitation des risques de phishing est la première chose à entreprendre. Cela étant donné le fait que la sensibilisation des identifiants devra se faire à travers différents vecteurs mais pas un seul. D’autant plus que la capacité de compréhension et de prise de conscience de vos salariés diffèrera d’une personne à une autre.

Une fois le plan établit, vous devrez prévenir vos collaborateurs de la réalisation du projet de campagne de phishing. Ne croyez pas que le fait de faire part de cette simulation à vos employés risquera de fausser les résultats. Bien au contraire, cela va leur permettre d’être plus vigilants et attentifs.

Les cas échéants, il ne vous reste plus qu’à trouver des scénarios de mise en situation. Il est impératif qu’ils soient adaptés à vos partenaires. Pour ce faire, ne visez pas trop haut et évitez les scénarios trop affolants. Vous pouvez :

Simuler les dangers à travers un jeu vidéo : le but ici est de faire plonger chaque employé dans un univers virtuel où il rencontrera les risques du phishing. Créer des emails simples puis monter en complexité. Piéger les salariés en laissant délibérément une clé USB dans les salles de repos ou les parkings. Dans ce dernier se trouvera un fichier word avec un nom évocateur mais qui contiendra un lien de redirection vers la page invisible du site web de l’entreprise.

La mise en place de solutions de défense contre le phishing : l’action en aval

Une fois que la simulation prend fin, communiquez les résultats et évitez de sanctionner les collaborateurs qui ont été phishés. Le mieux est de faire témoigner des experts au travers d’ateliers pour que les salariés puissent développer un peu plus un état d’esprit vigilant. Il faudra aussi penser à installer un ou plusieurs systèmes de défense innovants dans le cloud de votre SI. Ces derniers devront s’appliquer à l’intégralité de vos applications qui traitent les Big Data. Des applications de messagerie sécurisée peuvent également être d’une grande utilité.

You may also like