Phishing : comment former vos collaborateurs contre le hameçonnage ?

Les attaques par phishing ou hameçonnage constituent le principal danger de cybersécurité pour les entreprises françaises. Découvrez comment sensibiliser et former vos collaborateurs à se défendre contre ce fléau.

La cybercriminalité représente désormais une menace majeure pour les entreprises et administrations françaises. Sur l’année 2020, les attaques ont augmenté de plus de 400% selon Cybermalveillance.gouv.

Plus de 9 entreprises sur 10 déclarent avoir été victimes d’au moins une cyberattaque, avec un coût moyen s’élevant à 97 000€ pour une PME.

Le but principal des hackers et autres cybercriminels est de s’enrichir ou de nuire à l’organisation prise pour cible. Ceci passe notamment par le vol de données confidentielles, qui sont ensuite exposées au grand jour ou revendues à des concurrents.

Or, une fuite de données peut avoir des conséquences désastreuses pour l’entreprise. Elle peut entraîner de lourdes pertes financières, une interruption des activités, ou dégrader gravement sa réputation. Certaines PME ne s’en relèvent jamais.

Alors, quelles sont les méthodes employées par les criminels ? À l’heure actuelle, le  » phishing  » ou hameçonnage reste le principal mode opératoire.

 

Ce type d’attaque consiste à piéger les employés de l’entreprise, à les tromper par le biais d’un mail ou d’un appel téléphonique. En se faisant passer pour un tiers de confiance, l’attaquant pousse sa victime à dévoiler des informations sensibles ou à cliquer sur un lien dangereux.

Plus de 79% des attaques véhiculées par email en 2020 reposaient sur cette approche. Chaque jour, Google intercepte plus de 100 millions d’emails de spam ou de phishing. Cela ne suffit pas.

Si ces assauts basés sur l’ingénierie sociale sont efficaces, c’est principalement parce que les salariés français ne sont pas suffisamment sensibilisés aux risques cyber par leurs employeurs.

Certes, les barrières technologiques et les solutions logicielles permettent de repérer et de bloquer les malwares. Elles n’ont toutefois pas le pouvoir d’empêcher les erreurs humaines.

Selon une étude PWC, on estime que 30% des attaques subies sont dues au fait que les salariés sont incapables de détecter la menace faute de formation. Au contraire, dans 56% des cas, les cyberattaques ont pu être déjouées grâce à la vigilance des employés.

Éduquer les salariés aux dangers du phishing

À l’heure où 75% des emails contiennent des spams, des promotions publicitaires non désirées ou des virus informatiques, il est donc devenu crucial d’éduquer vos collaborateurs aux risques de cybersécurité et de leur apprendre à adopter les bonnes pratiques face au danger.

Pour y parvenir, il n’est pas suffisant de placarder des affiches de prévention sur les murs de l’entreprise ou d’organiser une réunion d’information sur le sujet.

Vous devez mettre en place des outils pédagogiques permettant à vos collaborateurs de connaître les différentes menaces, d’apprendre à les détecter et de savoir comment réagir. Cet apprentissage doit se prolonger sur le long terme, et de manière récurrente.

L’erreur à ne pas commettre est de proposer une formation uniforme à l’ensemble des salariés. Chaque individu a des besoins différents, liés à son rôle et à son degré de connaissance de la cybersécurité.

Avant de déployer des outils pédagogiques, vous devez donc évaluer le niveau de maturité de chacun de vos collaborateurs afin de saisir leurs besoins réels. Cette évaluation passe par des tests.

Simuler des attaques de phishing

 

Au-delà de l’apprentissage théorique, la formation des collaborateurs passe aussi par la pratique. Vous devez aussi les préparer à réagir à ces menaces potentielles.

Ceci permet de mieux retenir les connaissances acquises, mais aussi d’acquérir des automatismes. Les salariés seront en mesure d’appréhender les risques réels, d’identifier et de comprendre les attaques, et même de détecter les failles des cybercriminels.

La meilleure manière de mettre à l’épreuve vos collaborateurs est d’organiser des simulations d’attaques de phishing. Ces exercices sont un moyen idéal pour évaluer le comportement des équipes en cas d’attaque.

Une simulation réaliste, basée sur des modèles réels leur permettra d’apprendre à reconnaître les tentatives d’assaut et d’acquérir les bons réflexes.

Il existe aujourd’hui des outils permettant de créer très facilement de fausses cyberattaques et de les déployer auprès de vos collaborateurs pour observer leur réaction.

Contrairement à une véritable attaque, une simulation n’aura pas de conséquence même si vos équipes échouent à réagir correctement. Toutefois, l’exercice doit garder une visée pédagogique et s’accompagner d’explications pour que les salariés comprennent leurs erreurs et ne les reproduisent pas.

Analyser le comportement des salariés

Un autre avantage des simulations d’attaques de phishing est la possibilité de mesurer et d’analyser l’efficacité de la stratégie de défense mise en place par l’entreprise.

Au sein d’une organisation, les différents profils réagiront différemment face à une cyberattaque. Une simulation permet d’identifier ces différents comportements, et de cibler les actions de sensibilisation et de formation en fonction.

Ainsi, un bon outil de simulation doit permettre d’analyser les résultats pour estimer le niveau de vulnérabilité de votre entreprise. Il doit collecter des données sur les réactions des salariés, leur application des consignes, ou les progrès effectués au fil des exercices.

Mailinblack Phishing Coach : une solution française de simulation d’hameçonnage

https://www.youtube.com/watch?v=qzzSTNxvobY

En matière de cybersécurité, il est essentiel pour les entreprises et institutions françaises d’adopter des solutions  » made in France «  afin de préserver la souveraineté nationale dans ce domaine particulièrement sensible.

Les technologies étrangères sont soumises à d’autres lois et réglementations, et leur adoption peut mettre en péril la sécurité nationale. Il est capital que la France développe ses propres défenses face aux cybercriminels.

Dans ce contexte, l’entreprise marseillaise Mailinblack a développé la solution Phishing Coach. Cet outil complète permet de tester et d’entraîner vos salariés, afin de les aider à développer les bons réflexes de sécurité.

Avec cet outil, vous pouvez créer des simulations de cyberattaques de phishing et ransomware et les déployer auprès de vos collaborateurs. Vous profitez ensuite d’un suivi précis des résultats, et pouvez savoir qui a détecté la menace et qui a échoué.

Si un salarié clique sur un lien frauduleux, il est renvoyé vers une page de sensibilisation afin d’apprendre de ses erreurs. Il est également possible de suivre les progrès effectués par chacun au fil du temps.

La solution Phishing Coach est idéale pour former vos employés aux dangers du phishing de façon ludique et pédagogique. Pour en savoir plus, vous pouvez essayer dès à présent une démo gratuite et sans engagement sur le site de Mailinblack.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest