Lorsque l’organisation lance pour la première fois ses simulations d’hameçonnage, on nous demande fréquemment s’il serait sage de faire un « test à l’aveugle » avant d’annoncer le programme au personnel.
Les formations de sensibilisation à la cybersécurité et les simulations d’hameçonnage sont déjà un sujet controversé et vivement débattu dans le monde de la cybersécurité pour diverses raisons, et le sujet de l’efficacité des tests à l’aveugle est un élément de discussion populaire.
L’idée derrière les tests à l’aveugle a du sens, mais ultimement, je ne crois pas qu’ils soient aussi importants que plusieurs le pensent. En fait, à mon humble avis, ils peuvent causer plus de mal que de bien, et les bénéfices sont souvent de courte durée, si bénéfices il y a.
Alors, découvrons précisément ce qu’est un test d’hameçonnage à l’aveugle, pourquoi les équipes des TI pensent qu’il est utile de les effectuer, et pourquoi nous croyons qu’il vaut mieux ne pas en faire du tout.
Qu’est-ce qu’un test d’hameçonnage à l’aveugle?
Un test d’hameçonnage à l’aveugle est une procédure au cours de laquelle vous envoyez une campagne d’hameçonnage à tous les employés (ou presque) sans leur annoncer quoi que ce soit.
L’objectif de ces tests à l’aveugle est d’obtenir des données neutres, dans un environnement contrôlé, sur la susceptibilité de votre organisation à se faire prendre par des tentatives d’hameçonnage. En annonçant à votre personnel que vous menez un test, il se peut qu’il devienne plus alerte, ce qui pourrait influencer les résultats.
Pourquoi les équipes de cybersécurité et des TI désirent-elles obtenir un taux « juste » de la susceptibilité aux tentatives d’hameçonnage? Parce qu’elles croient qu’il sera plus facile de dresser un portrait de l’état actuel de l’organisation pour eux et la haute direction avant le début de la formation. Ceci leur permet de prouver que leur investissement dans une formation de sensibilisation a une influence positive après quelques semaines ou mois de cours et de tests d’hameçonnage.
Statistiquement, les tests d’hameçonnage à l’aveugle ne valent pas grand-chose
Le premier grand problème que je note avec les tests à l’aveugle est un problème de données.
Un simple de test d’hameçonnage employant un modèle préétabli à un moment précis n’est pas une représentation adéquate de la susceptibilité aux tentatives d’hameçonnage de votre entreprise.
Votre test d’hameçonnage pourrait être envoyé à un moment où les gens sont moins suspicieux de ce type de courriels, par exemple. Une organisation effectuant un test à l’aveugle en février aura des résultats vastement différents que si elle le fait en mai, seulement quelques mois après que la pandémie de la COVID-19 a pris une place centrale dans la vie de tous.
Il se peut que le modèle d’hameçonnage que vous choisissez ne comprenne pas un titre suffisamment attirant pour pousser vos employés à cliquer dessus. De plus il se peut que votre équipe puisse flairer à tous les coups les arnaques de réseaux sociaux, mais qu’elle ne soit pas aussi habile pour détecter les modèles de fraude des PDG. Selon votre modèle, vous pourriez penser que vos employés reconnaissent plus facilement (ou difficilement) les courriels d’hameçonnage qu’il en est réellement le cas.
Les tests à l’aveugle peuvent miner la confiance de votre personnel
Le deuxième problème des tests d’hameçonnage à l’aveugle est un peu plus vague. Il concerne la culture, la communication et la confiance entre vous et vos employés.
La cybersécurité est un sujet sensible pour plusieurs organisations, particulièrement celles qui ont été frappées par un logiciel rançonneurs ou qui ont vécu d’autres incidents par le passé. Nous croyons qu’une culture saine en matière de cybersécurité est fondée sur une communication et une confiance ouvertes entre l’équipe des TI et les groupes qu’elle soutient.
Les tests d’hameçonnage à l’aveugle peuvent aller directement à l’encontre de cette philosophie. J’ai entendu bon nombre de fois des organisations raconter que leurs employés se sentaient victimes de canulars ou de plaisanteries de l’équipe des TI en raison des tests d’hameçonnage, et que cela avait causé des problèmes d’attitude négative en ce qui concerne les programmes de formation de sensibilisation, les TI et la cybersécurité en général.
C’est le résultat opposé à celui que nous cherchons à obtenir avec les formations de sensibilisation à la cybersécurité. Lorsque des comportements comme ceux-ci s’instaurent au bureau, votre équipe risque de moins respecter les politiques, adopter les nouveaux outils de cybersécurité et dénoncer les événements suspects.
Enfin, une organisation ayant une mauvaise culture en matière de cybersécurité risque d’être touchée par plus d’incidents de cybersécurité.
Que devriez-vous faire au lieu d’effectuer des tests d’hameçonnage à l’aveugle?
Tout d’abord, nous croyons que vous devriez faire preuve de transparence absolue et d’une communication ouverte avec toute votre équipe en ce qui concerne le programme de formation de sensibilisation à la cybersécurité, incluant vos tests d’hameçonnage.
Lorsque les organisations suivent cette approche, elles impliquent leurs utilisateurs dans la lutte contre les menaces externes, plutôt que de leur faire sentir qu’ils sont un risque nécessitant d’être surveillé en tout temps.
Dites-leur ce que vous désirez faire, quand et pourquoi. Donnez-leur le soutien dont ils ont besoin pour détecter les courriels d’hameçonnage (grâce à des formations) et les signaler en toute sécurité (à l’aide d’un outil comme un bouton « Signaler un courriel hameçon » ou une adresse d’envoi).
Pour votre toute première simulation d’hameçonnage, vous devriez informer toute votre équipe en avance de ce que vous prévoyez faire.
Nous ne disons pas que vous devriez annoncer à vos employés le style exact et l’heure du test, car un tel geste influencerait énormément vos résultats. En revanche, vous devriez absolument informer tout le personnel que vous effectuerez le test dans une semaine ou deux et leur envoyer quelques modèles aléatoires.
Il est important d’inclure tous vos employés dans vos tests d’hameçonnage afin qu’ils ne pensent pas que vous vous attaquiez à un service ou à une personne en particulier. Vous devez donc tester également vos équipes de direction.
En effectuant ces démarches, vous ferez preuve de transparence concernant votre plan pour les tentatives d’hameçonnage. Nous vous recommandons de mener des tests d’hameçonnage aléatoires à tout le personnel chaque mois et d’annoncer vos attentes en ce qui a trait à la cadence et les données partagées après chaque test, peu importe la fréquence à laquelle vous effectuez ces tests.
Après votre premier test d’hameçonnage, et régulièrement ensuite, nous vous conseillons de partager les résultats avec vos employés. Vous seriez surpris à quel point ces données les intéressent, puisque vous les avez intégrés dès le début. C’est l’avantage de la transparence; vous voulez que votre équipe sente qu’elle fait partie de votre solution en matière de cybersécurité.
Prêt à lancer des tests de phishing dans votre organisation?
La formation de sensibilisation à la cybersécurité de CIRA facilite l’automatisation d’un programme mensuel de phishing et la création de modèles personnalisés de spear phishing.
Jon champions the people-side of cybersecurity as the marketing lead for CIRA’s cybersecurity awareness training platform. His background in enterprise data marketing and teaching organizational behaviour at the university level allows him to develop resources for Canadian businesses to help them engage their employees and empower them to reduce their cyber risk.
