Utilisez la formation en sensibilisation à la sécurité en ligne pour diminuer votre taux de clics

La première étape est de reconnaître un potentiel courriel d’hameçonnage. La prochaine étape, et la plus importante, est de savoir quoi en faire.

Idéalement, vos employés devraient vous signaler le courriel d’hameçonnage, puis supprimer le message. Toutefois, la curiosité est extrêmement puissante. Les gens ont tendance à faire confiance à l’expéditeur du message et à croire en sa légitimité, donc ils cliquent. Et parce qu’ils sont occupés ou qu’ils ne s’attendent pas à être victimes de cybercriminels, ils continuent à cliquer.

Savoir comment gérer et réagir à des cliqueurs fréquents représente un défi universel pour les CISO et les leaders en sécurité. Cette situation peut être frustrante, d’autant plus que vos employés ont suivi une formation en ligne en sensibilisation à la sécurité – ils devraient être en mesure de reconnaître les indices d’un courriel d’hameçonnage.

Mais il y a une grande différence entre savoir et réagir correctement. Nous savons que les humains ont tendance à faire confiance, et que la plupart des gens ne s’attendent pas à être ciblés par un cybercriminel. En fait, ils se disent plutôt : « Pourquoi un cybercriminel me viserait-il? Je ne suis pas riche et je ne possède pas une grosse compagnie. »

Pourquoi les employés continuent-ils à cliquer?

Pourquoi les employés continuent-ils à répondre à des courriels promotionnels ou à des messages semblant provenir de leur patron? Pourquoi continuent-ils à cliquer, même s’il y a des fautes d’orthographe ou des erreurs évidentes dans l’URL?

Les cybercriminels utilisent les émotions et la tendance humaine à faire confiance pour amener leurs victimes à agir rapidement et sans vraiment réfléchir à la nature de la demande ou à sa source.

Peur : Un ton ferme et menaçant est utilisé pour convaincre les victimes que si elles n’agissent pas rapidement, il y aura des conséquences négatives pour elles ou leur entourage. Par exemple, une arrestation ou la saisie d’un compte bancaire.

Respect : La victime se sent obligée de répondre parce que le courriel semble provenir d’un employé de l’entreprise qui a autorité sur elle. Elle ne remet pas en doute le bien-fondé d’effectuer un virement à un nouveau partenaire, ou de transmettre au directeur des RH de l’information confidentielle concernant un employé.

Cupidité : Tout le monde veut plus pour moins cher. En exploitant notre cupidité naturelle, les cybercriminels amènent leurs victimes à agir en leur promettant de l’argent, un prix ou la chance de tirer profit d’une nouvelle entreprise.

Serviabilité : Les gens ont tendance à faire confiance et à s’entraider. C’est pourquoi ils sont bernés par les messages sur les médias sociaux provenant de parents éloignés ou par des courriels de type « aidez-moi » ou « je suis en difficulté et vous seul pouvez m’aider »

La nature même de l’hameçonnage rend les choses encore plus compliquées :

  • Des tactiques d’ingénierie sociale ingénieuses qui exploitent la nature confiante et serviable des gens.
  • L’utilisation d’un ton urgent qui encourage les destinataires à agir rapidement.
  • Des courriels qui profitent de la période de l’année (soldes des fêtes), des événements d’actualité (COVID-19) ou de la convoitise humaine pour des prix, des rabais ou des récompenses.
  • Des courriels qui semblent provenir d’Amazon, d’un gestionnaire ou du gouvernement.
  • Les gens sont occupés. Ils reçoivent beaucoup de courriels et l’hameçonnage ne figure pas au sommet de leurs préoccupations.

Par conséquent, même si vos employés ont suivi une formation en sensibilisation à la sécurité et qu’ils ont assisté à des conférences d’experts sur l’hameçonnage, le harponnage et les arnaques de BEC (business email compromise) – on constate une déconnexion.

Vos employés continuent à cliquer parce qu’ils ne sont tout simplement pas conscients des risques et qu’ils ne comprennent pas que tout le monde, sans exception, peut être une cible pour les cybercriminels.

Pour rejoindre les cliqueurs fréquents, la formation en sensibilisation à la sécurité en ligne doit adopter les mêmes tactiques que les cybercriminels.

  • Des scénarios réalistes qui se produisent au quotidien.
  • Une formation personnalisée, courte, dynamique et engageante.
  • Disponible sur tous les appareils – téléphone intelligent, tablette ou ordinateur.
  • Un langage qui plaît à vos employés et leur parle directement.
  • Un message cohérent, répétitif et facile à lire.

Visionnez le webinaire Les cinq étapes de l’hameçonnage (en anglais) pour en apprendre davantage sur les cliqueurs fréquents et leurs motivations. https://terranovasecurity.com/fr/webinaire-the-five-stages-of-being-phished/

Comment les CISO et les leaders en sécurité peuvent gérer les cliqueurs fréquents

Pour gérer les cliqueurs fréquents, vous devez adapter votre rôle en tant que CISO ou de leader en sécurité. Au lieu de penser à la protection de votre entreprise, réfléchissez à la façon dont vous pouvez motiver vos employés à se protéger, et éventuellement à protéger votre entreprise et leurs collègues.

Vos employés constituent votre principale ligne de défense contre les attaques d’hameçonnage et les cybermenaces.

Pour gérer et rejoindre les cliqueurs fréquents, suivez les directives suivantes :

  1. Communiquez des messages cohérents et répétitifs sur l’hameçonnage et la cybersécurité. Utilisez des infolettres, des affiches et des vidéos de microapprentissage et de nanoapprentissage pour transmettre à vos employés le même message sur l’hameçonnage et les indices permettant de le détecter.
  2. Intégrez la sensibilisation à la sécurité dans votre culture organisationnelle. Identifiez les employés qui sont intrinsèquement motivés et demandez-leur de devenir des cyberhéros. Ils peuvent ainsi être proactifs et discuter de cybersécurité et d’hameçonnage avec les employés qui sont extrinsèquement motivés ou déconnectés des risques.
  3. Offrez à vos employés une formation en sensibilisation à la sécurité personnalisée et de qualité supérieure, grâce son caractère engageant, interactif et pertinent. Tirez profit de l’apprentissage en ligne autodirigé, des formations ludiques et des scénarios réalistes.
  4. Utilisez les simulations d’hameçonnage pour mesurer comment vos employés réagissent à la formation. Ces simulations vous aident à identifier les cliqueurs fréquents, vous permettant ainsi d’identifier les points faibles de la formation et de la réviser en conséquence.
  5. Beaucoup de gens sont motivés par la compétition et les récompenses. Si cela se prête dans le cadre de votre culture d’organisation, établissez une façon de récompenser les employés qui améliorent leur taux de clics.
  6. Informez les cliqueurs fréquents qu’il y a des conséquences à leur comportement. Utilisez des exemples ou des simulations réalistes pour souligner les impacts personnels et professionnels de cliquer sur un lien ou de télécharger une pièce jointe. Aidez-les à comprendre la gravité de leurs gestes.
  7. Envisagez de prendre des actions concrètes – désactiver le courrier électronique ou bloquer l’accès à Internet – si un cliqueur fréquent clique. Démontrez aux gens les dommages potentiels d’une attaque d’hameçonnage réussie.
  8. Si votre culture organisationnelle vous le permet, informez les cliqueurs fréquents qu’il existe des conséquences personnelles réelles à leurs actions. Envisagez de transmettre une note qui détaille ces conséquences et la procédure pour accéder facilement à la formation en sensibilisation à la sécurité en ligne et aux simulations d’hameçonnage. Expliquez clairement que votre intention est de les aider et de les soutenir.

Reconnaître les indices pour détecter un courriel d’hameçonnage (À l’intention des employés)

Les courriels d’hameçonnage sont efficaces parce que les cybercriminels utilisent un langage convaincant et des techniques d’ingénierie sociale avancées pour vous inciter à cliquer. Tout le monde sans exception peut être la cible d’attaques d’hameçonnage. Votre emploi, votre salaire ou l’endroit où vous travaillez n’a aucune importance pour les cybercriminels.

Pour cette raison, nous souhaitons que vous soyez en mesure de reconnaître ces six indices permettant de détecter un courriel d’hameçonnage :

  1. Expéditeur. Inspectez attentivement l’adresse courriel de l’expéditeur. Est-elle épelée correctement? Lorsque vous passez votre souris sur l’adresse, qu’est-ce qui apparaît? Les cybercriminels utilisent des adresses courriels falsifiées qui semblent réelles – par exemple support@amazon.xyz.com au lieu de support@amazon.com.
  2. Méfiez-vous des courriels qui commencent par « Cher client » ou « Cher et estimé client ». Si votre nom ne figure pas dans le courriel, pensez-y à deux fois avant d’y donner suite.
  3. Inspectez bien les courriels qui utilisent un ton urgent pour vous encourager à agir rapidement ou qui formulent des menaces. Y a-t-il des fautes d’orthographe ou grammaticales? Les courriels provenant d’une vraie entreprise ne contiennent pas d’erreurs. Signalez à votre bureau de service de TI les courriels qui vous demandent des informations personnelles ou financières, ou de mettre à jour des informations sur votre compte.
  4. Lien ou bouton. À moins de connaître l’auteur du courriel, évitez de cliquer sur des liens ou des boutons. Les cybercriminels les utilisent pour vous diriger vers un faux site Web ou pour installer un maliciel sur votre ordinateur.
  5. Pièce jointe. Soyez extrêmement vigilant face à toute pièce jointe. Avant de cliquer, passez votre souris au-dessus la pièce jointe et examinez le nom du fichier. Ne cliquez jamais sur les fichiers qui présentent une extension .exe. En cliquant sur un fichier .exe, vous risquez d’installer un maliciel sur votre ordinateur et votre réseau, et de compromettre le fonctionnement de l’entreprise. Ne cliquez jamais sur des pièces jointes provenant d’expéditeurs inconnus.
  6. Coordonnées. Aucune organisation ne vous enverra un courriel sans inclure des coordonnées. Méfiez-vous d’un courriel qui ne contient aucun numéro de téléphone ou adresse. Souvenez-vous que certains cybercriminels créent des faux numéros de téléphone qu’ils incluent dans leurs courriels d’hameçonnage. Tapez vous-même l’URL de l’entreprise ou de l’organisation dans votre navigateur et utilisez les coordonnées indiquées sur le site Web officiel.

Par-dessus tout – en cas de doute – ne cliquez pas. Soyez méfiant. Prenez votre temps, lisez le courriel avec attention, et si vous n’êtes pas sûr à 100 %, discutez-en avec nous. Nous sommes là pour vous aider.


Webinaire Les cinq étapes de l’hameçonnage

Visionnez le webinaire Les cinq étapes de l’hameçonnage (en anglais) pour en apprendre davantage sur les cliqueurs fréquents et leurs motivations.

VISIONNER LE WEBINAIRE