Qu’est-ce que la formation en cybersécurité de CIRA?
Former les employés afin qu’ils puissent reconnaître et signaler les cybermenaces constitue désormais une tactique de défense essentielle utilisée par de nombreuses équipes des TI. En 2019, CIRA s’est associée à Beauceron Security pour fournir aux organisations canadiennes la plateforme de formation sur la cybersécurité de CIRA.
À propos de ce livre blanc
C’est avec plaisir que nous fournissons un rapport utilisant les données agrégées de la plateforme de formation. Les données provenant de sondages, de simulations d’hameçonnage et de didacticiels nous permettent d’examiner les comportements des utilisateurs en matière de cybersécurité.
Contrairement à d’autres rapports d’hameçonnage basés sur des données internationales, nos résultats mettent l’accent sur la situation canadienne.
Utilisation des résultats
Que vous envisagiez de mettre en place un programme de formation ou que vous cherchiez à apporter des modifications éclairées à votre programme actuel, ce rapport peut vous aider en fournissant des références et des décisions clés pour réduire les cyberrisques sur votre lieu de travail.
Méthodologie
Les données ont été enregistrées du 1er janvier au 30 septembre 2021, sauf indication contraire. La plupart des utilisateurs sont situés au Canada et travaillent dans divers secteurs, notamment le secteur financier, les municipalités, les soins de santé et l’éducation.
Les données de ce rapport proviennent de manière anonyme de
trois composantes de notre plateforme de formation:
Sondages auprès des utilisateurs
Réponses agrégées et plus encore (plus de 8 000 réponses de plus de 120 organisations)
Simulations d’hameçonnage
Taux de signalement, taux de clics et plus encore (plus de 126 000 simulations d’hameçonnage envoyées à plus de 21 000 utilisateurs au sein de plus de 140 organisations)
Cours
Taux d’achèvement, résultats des tests, et plus encore (plus de 16 000 cours terminés)
Hameçonnage
Fonctionnement des simulations d’hameçonnage
Notre plateforme envoie des simulations d’hameçonnage automatisées aux utilisateurs en guise d’exercice pour les aider à prendre l’habitude de reconnaître les tactiques d’hameçonnage courantes (comme les demandes urgentes, les fautes de frappe ou les logos obsolètes) et de signaler les courriels suspects envoyés au service informatique.
Désirez-vous en apprendre davantage au sujet du processus? Consultez notre organigramme montrant les différents scénarios et résultats lorsqu’un utilisateur signale ou clique sur un courriel suspect.
Les taux de clics ont diminué de 60 % en un an
Les taux de clics représentent une mesure couramment suivie par les équipes des TI pour évaluer l’efficacité d’un programme de sensibilisation. Il s’agit d’apprendre aux utilisateurs à éviter de cliquer sur des liens suspects (liens qui mèneraient à un virus ou à un rançongiciel, s’il s’agissait d’un véritable courriel d’hameçonnage), entraînant une diminution du taux de clics.
Taux de clics des simulations d’hameçonnage au fil du temps :
- Référence en début de formation* : 8,2 %
- Après 90 jours : 4,5 %
- Après une année : 3,3 %
*Dans le cadre du programme de formation d’intégration standard, les utilisateurs reçoivent trois simulations d’hameçonnage dans un court laps de temps. Les données collectées pour cette section du rapport sont extraites de 2019 à 2021.
De nombreuses organisations effectuent de l’hameçonnage automatisé, en envoyant chaque mois un courriel à un utilisateur. Les données montrent que, grâce à des simulations d’hameçonnage périodiques, les clics diminuent de façon considérable après un an de formation. Ce fait est étayé par les conclusions du sondage de CIRA sur la cybersécurité de 2021, qui montre que presque tous les professionnels de l’informatique (95 %) croient que la formation des utilisateurs finaux est efficace pour réduire les incidents ou les comportements à risque en ligne.
Cliquer trop rapidement
Nos données ont révélé que si un utilisateur clique sur un lien dans une simulation d’hameçonnage, il est susceptible de le faire le jour même de son envoi : 24 % des gens cliqueront dans la première heure et 78 % des gens cliqueront dans les 24 heures. En comparaison avec le signalement de tentatives d’hameçonnage, 69 % de ces dernières sont signalées dans les 24 heures.
Si une véritable tentative d’hameçonnage réussit à franchir les filtres antipourriel, le fait de la signaler au service informatique dès que possible peut aider à protéger l’ensemble de l’organisation. Les utilisateurs représentent vos premiers intervenants et en leur apprenant à signaler un lien suspect, ce dernier peut potentiellement être supprimé ou bloqué avant qu’il ne touche les autres.
Apprentissage supplémentaire
Les cybercriminels et les ingénieurs sociaux prennent plaisir à créer un sentiment d’urgence. En suivant la formation, les utilisateurs reconnaissent le sentiment de contrainte occasionné à la réception d’un courriel et prennent le temps de rechercher d’autres indices montrant que ce courriel suspect constitue une tentative d’hameçonnage. En fait, si un utilisateur clique sur une simulation d’hameçonnage, il peut savoir quels signaux d’alarme lui ont échappé en visualisant les indices d’hameçonnage sur notre plateforme – afin qu’il sache à quoi porter attention la prochaine fois! Les administrateurs peuvent également attribuer automatiquement des cours de formation supplémentaires (liés au contenu et aux tactiques utilisées dans la simulation) pour transformer ces incidents en apprentissages.
Éviter de cliquer avant le café
Une autre tactique néfaste consiste à cibler les utilisateurs qui ne sont peut-être pas encore pleinement alertes, tôt le matin. D’après une analyse précédente, nous savons que l’heure la plus dangereuse pour cliquer sur les simulations d’hameçonnage est entre 8 h et 9 h. Pour plus de renseignements à ce sujet, lisez la publication suivante de Beauceron : Beware the Clicking Hour (en anglais).
Simulations d’hameçonnage ayant fait l’objet du plus grand nombre de clics
La plateforme contient plus de 150 courriels d’hameçonnage prédéfinis envoyés par le biais de notre programme d’hameçonnage automatisé.
Voici les lignes d’objet des principales simulations d’hameçonnage sur lesquelles les utilisateurs ont cliqué :
-
Fichier SharePoint par le biais de SharePoint – 28 % des gens ont cliqué
- Occasion d’emploi – 21 % des gens ont cliqué
- URGENT : Incident d’hameçonnage – 17 % des gens ont cliqué
À titre indicatif, pour toutes les simulations d’hameçonnage envoyées, le taux de clic moyen est de 5 %.
Chacune de ces principales simulations d’hameçonnage utilise différentes tactiques pour amener les utilisateurs à cliquer. La première consiste à se faire passer pour une notification de processus opérationnel quotidien, la seconde présente une occasion passionnante et la troisième incite à l’action immédiate en utilisant des tactiques de peur et d’urgence. Les employés doivent être à l’affût de tous les types de tactiques d’hameçonnage courantes.
Simulations d’hameçonnage ayant fait l’objet du plus grand nombre de signalements
Il est intéressant de noter le type de courriels d’hameçonnage que les utilisateurs ont réussi à signaler au service informatique. Ces simulations ne trompaient presque personne, mais elles donnaient aux utilisateurs l’occasion de continuer à prendre l’habitude de signaler les courriels au service informatique.
| Objet du courriel | Taux de signalement | Degré de difficulté* |
|---|---|---|
| Confirmation de commande – service traiteur de la cuisine au bureau | 51 % | Moyen |
| RE: Transfert de fonds | 49 % | Faible |
| Confirmation de l’hôte AirBnB | 38 % | Élevé |
*Degré de difficulté de l’hameçonnage
Chaque simulation d’hameçonnage est classée selon un degré de difficulté allant de faible à élevé à l’aide de l’échelle d’hameçonnage du NIST. Si un courriel contient de nombreux signaux d’alarme (ou « indices » d’hameçonnage), il est alors considéré comme une tentative d’hameçonnage « facile » – facile à repérer. La plateforme déploie de l’hameçonnage adaptatif, ce qui signifie que les utilisateurs recevront d’abord des simulations d’hameçonnages faciles et des tentatives d’hameçonnages plus difficiles par la suite, s’ils continuent à les signaler avec succès.
Analyse des sondages
Notre plateforme envoie des sondages aux utilisateurs et collecte les données, permettant aux administrateurs de visualiser des données agrégées pour prendre des décisions éclairées concernant leurs pratiques de cybersécurité. Des décisions éclairées leur permettent de se concentrer sur les plus importantes lacunes de l’organisation.
L’un des sondages auxquels les utilisateurs répondent lors de la formation d’intégration consiste à connaître leurs comportements et attitudes actuels en matière de cybersécurité. P. ex. : « Réutilisez-vous les mêmes mots de passe? ». En examinant les principales conclusions, nous pouvons identifier certains défis comportementaux courants en matière de cybersécurité auxquels les professionnels de l’informatique sont confrontés.
En effet, 71 % des gens sont d’accord pour dire que leur organisation représente une cible pour les cybercriminels.
Comprendre les enjeux – que les décisions que vous prenez et les actions que vous entreprenez en tant que personne qui traite tout type de données ou effectue tout type de transaction sur votre lieu de travail – est essentiel pour reconnaître la nécessité de suivre les meilleures pratiques en matière de cybersécurité.
Nous avons de mauvaises nouvelles à annoncer aux répondants (4 %) ayant indiqué qu’ils n’étaient pas d’accord pour dire que leur organisation représentait une cible pour les cybercriminels. Toute organisation représente une cible.
Voici quelques raisons expliquant pourquoi les gens pourraient penser ainsi :
- Un parti pris dans les médias – un piratage touchant une grande entreprise avec des milliers de clients est plus susceptible d’être signalé dans l’actualité.
- Le sentiment que leurs données sont moins ciblées – ce n’est pas parce qu’une organisation compte peu d’employés que ses données sont sans valeur.
- Le fait de ne pas comprendre que les attaques de masse non ciblées représentent une véritable loterie. Bien sûr, certaines attaques ciblent des entreprises en particulier. Mais d’autres sont causées par des criminels qui « ratissent large ». En fait, les petites entreprises sont plus susceptibles de mettre en place des contrôles de sécurité moins sophistiqués sans une équipe dévouée des TI.
En effet, 34 % des gens croient que la cybersécurité représente surtout un problème informatique
Le fait de prendre les devants en matière de cybersécurité relève du service informatique, mais sur un lieu de travail, chaque personne ayant accès à un appareil ou à un programme joue un rôle essentiel pour assurer la sécurité des données. Le service informatique peut vous aider à configurer des filtres antipourriel, une authentification unique, etc. Tous les individus représentent un vecteur potentiel d’attaque.
Seulement 18 % des gens utilisent un gestionnaire de mots de passe
Plusieurs personnes s’opposent aux gestionnaires de mots de passe, car elles doutent de leur efficacité et d’autres en ignorent tout simplement l’existence. En effet, peu d’humains peuvent se souvenir des 100 mots de passe et plus qu’ils utilisent pour les comptes au travail, et les gestionnaires de mots de passe sont largement recommandés par les professionnels de l’informatique. .
Cours de cybersécurité
Il existe plus de 100 cours prédéfinis fournis sur la plateforme, couvrant toute une série de sujets allant de la sécurité des comptes à Zoom. En examinant les données d’achèvement des cours et des tests, nous pouvons identifier certaines tendances dans la façon dont les utilisateurs participent à cette partie essentielle de la formation.
Si vous ne réussissez pas à la première tentative…
Passez un autre test! Les utilisateurs qui n’obtiennent pas la note de passage (définie par défaut à 80 %) à la première tentative peuvent toujours terminer le cours en passant un deuxième test comportant une série de questions différentes. Ce processus permet aux utilisateurs d’avoir la possibilité d’apprendre quelque chose de nouveau au lieu de se sentir découragés de ne pas avoir obtenu la note de passage.
Voici une répartition du nombre de personnes suivant les cours dans notre flux de travail d’intégration :
- Cybersécurité 101 : Le monde de la cybercriminalité – 24 % de reprise
- Cybersécurité 102 : Le piratage des êtres humains – 13 %
- Cybersécurité 103 : Les maliciels – 23 %
- Cybersécurité 104 : Savoir se protéger – 13
Achèvement le jour même
En jetant un œil à notre cours Cybersécurité 101, 79 % des utilisateurs souhaitent suivre la formation et la terminer le jour même.
- Le jour même – 79 %
- Une semaine – 87 %
- Un mois – 94 %
- Un trimestre – 99 %
Nous avons intentionnellement conçu nos cours d’intégration pour atteindre un taux d’achèvement élevé. Voici quelques raisons pour lesquelles le taux d’achèvement est si élevé :
- La durée des cours est raisonnable, soit de 5 à 15 minutes. La durée est suffisante pour couvrir les sujets en détail, mais elle est assez brève pour assurer l’engagement des utilisateurs sans nuire à leur travail quotidien.
- La formation ressemble à un jeu. Lorsqu’un utilisateur termine un cours, il est récompensé par une diminution de sa note de cyberrisque, qui augmente ou diminue selon son activité de formation.
- La formation est interactive, en offrant des options vidéo et des tests pour vérifier les connaissances des utilisateurs.
Si vous avez de la difficulté à motiver vos utilisateurs, il existe de judicieux conseils sur la façon d’encourager les employés à suivre une formation dans le guide de CIRA – cinq étapes pour mettre en place une formation.
Les professionnels de l’informatique souhaitent que les utilisateurs soient informés en ce qui concerne la protection de la vie privée et les menaces émergentes
Cours les plus fréquemment attribués, en dehors de la formation d’intégration ou de la formation de rattrapage attribuée automatiquement
- Attaques basées sur les réseaux sociaux
- La confidentialité en pratique
- Les principes fondamentaux de la protection de la vie privée
- L’hygiène du mot de passe
- La confidentialité dans la loi
L’enseignement des tactiques courantes est essentiel, alors que les criminels vont au-delà des sources traditionnelles et se tournent vers des sites comme Facebook et Twitter pour voler des renseignements personnels et propager des escroqueries. Les utilisateurs qui suivent ce cours découvrent les escroqueries courantes, ils apprennent à les reconnaître et étudient un exemple d’attaque contre une grande brasserie canadienne.
La protection de la vie privée représente également un sujet d’actualité. Le fait de comprendre pourquoi les données représentent la devise du XXIe siècle – et à quel point il est important que les clients et les données délicates soient protégés – est essentiel pour à peu près tous les emplois.
Désirez-vous commencer la formation?
Si vous souhaitez en savoir plus sur la formation ou obtenir un devis, contactez-nous et un membre de notre équipe se fera un plaisir de vous rencontrer.
Découvrez la plateforme
Obtenez un aperçu de la plateforme, de ses fonctionnalités, de quelques exemples de modèles d’hameçonnage et plus encore.
En savoir plus sur la cyberassurance
Mikel Pearce, avocat et spécialiste dans le domaine de la défense dans les affaires d’assurances, parle de la cyberassurance et comment elle complète les meilleures pratiques de cybersécurité comme la formation.
