La dernière édition du est maintenant disponible. Le rapport présente aux responsables de la cybersécurité et de la gestion de risques, des informations issues des données recueillies lors de la simulation mondiale d’hameçonnage déployée dans le cadre du Gone Phishing TournamentTM 2021.
Le rapport qui en résulte suggère que, bien qu’ayant eu lieu pendant le Mois de la sensibilisation à la cybersécurité, de nombreux participants n’ont pas été en mesure de reconnaître l’attaque par hameçonnage. De plus, les données recueillies lors de l’événement montrent que les employés sont encore plus sensibles aux attaques d’hameçonnage qu’en 2020.
C’est la raison pour laquelle la formation en sensibilisation à la sécurité se doit d’inclure des simulations d’hameçonnage issues d’exemples réalistes permettant de détecter et d’éviter les menaces.
Qu’est-ce que le Gone Phishing Tournament ?
Gone Phishing Tournament est un événement annuel sur le thème de la cybersécurité qui permet aux organisations du monde entier de renforcer leurs programmes de sensibilisation à la sécurité grâce à des données comparatives approfondies (benchmark).
Les enseignements tirés de ces données aident les responsables de la sécurité et de la gestion de risques à mieux comprendre les vulnérabilités de leur organisation en matière d’hameçonnage, à établir des objectifs concrets de cybersécurité et à maximiser leur rendement sur investissement.
L’édition 2021 du Gone Phishing Tournament a encore une fois bénéficié du partenariat entre Terranova Security et Microsoft. Les deux organisations ont collaboré sur le modèle de simulation d’hameçonnage et se sont appuyées sur des données réelles de Microsoft pour concevoir des cybermenaces comme celles rencontrées dans la vraie vie.
Cette année, près d’un million de courriels ont été envoyés aux employés ciblés par les organisations participantes. Les modèles de courriel et de la page Web, fournis par
Microsoft, reflétaient un scénario réaliste que tous les utilisateurs, en particulier ceux qui travaillent à distance ou en mode hybride, auraient pu rencontrer dans leurs activités quotidiennes.
Le scénario, sélectionné par l’équipe de direction de Terranova Security, visait à mesurer plusieurs comportements des utilisateurs tels que :
- Cliquer sur un lien dans le corps d’un courriel d’hameçonnage
- Télécharger un rançongiciel à partir d’une page Web d’hameçonnage.
Sommaire des résultats
Le tournoi, qui a accueilli des organisations du monde entier, a démontré que les menaces d’hameçonnage sont à prendre au sérieux. En effet, près d’un utilisateur sur cinq a cliqué sur le lien d’hameçonnage inclus dans le courriel de la simulation, soit 19,8 % des participants.
En outre, plus de 14 % de tous les utilisateurs n’ont pas été en mesure d’identifier la page Web de la simulation comme étant dangereuse. Ces utilisateurs ont cliqué sur un lien aboutissant au téléchargement d’un fichier malveillant. Globalement, plus de 70 % des personnes ayant cliqué sur le lien d’hameçonnage contenu dans le courriel de la simulation ont également téléchargé le fichier malveillant à partir de la page Web d’hameçonnage.
Autres faits saillants :
- L’Amérique du Nord est la région au sein de laquelle le taux de téléchargement du logiciel malveillant est le plus bas (11,8 %), tandis que l’Europe arrive en deuxième position. La région Asie-Pacifique a terminé avec le taux de téléchargement du logiciel malveillant le plus élevé.
- Concernant les taux de clics par secteur d’activité, l’éducation, la finance et l’assurance, ainsi que les technologies de l’information ont affiché les résultats les plus élevés, soit des taux supérieurs à 25 %. Les secteurs des soins de santé, des transports et des biens de consommation ont tous maintenu leur taux de clics en dessous de 10 %. Le secteur des technologies de l’information présente le ratio clic-téléchargement le plus élevé de tous les secteurs puisque 84 % des personnes ayant cliqué sur le lien d’hameçonnage ont aussi téléchargé le fichier malveillant.
- Les organisations de plus de 3 000 employés ont obtenu les pires résultats de tous les segments de taille, affichant un taux de clic sur le lien d’hameçonnage de 18 % et un taux de téléchargement du fichier malveillant de 12 %. De toutes les tranches de taille d’organisation, elles affichent également le ratio clic/téléchargement le plus élevé, soit 66 %.
- Les organisations comptant entre 500 et 2999 employés quant à elles ont obtenu le meilleur taux de clics soit 11 %. Ces organisations sont également celles qui ont mis en place des programmes de formation en sensibilisation à la sécurité et à l’hameçonnage.
Comment mettre en place un programme de formation efficace en sensibilisation à la sécurité et à l’hameçonnage
Pour mettre en place une formation efficace en sensibilisation à la sécurité et à l’hameçonnage, chaque organisation quelque soient sa taille, son secteur d’activité ou son emplacement géographique, peut suivre ces quelques recommandations fournies par les experts en sécurité de Terranova Security :
1. Cibler les comportements à modifier de vos utilisateurs
Explorez vos données de cybersécurité existantes pour identifier les comportements ou les actions spécifiques des employés qui ont conduit à des incidents de violation de données par le passé. Grâce à ces informations, vous pouvez déterminer quels comportements (par exemple, cliquer sur un lien de page Web, soumettre des informations d’identification dans un formulaire Web malveillant) votre organisation doit cibler dans le cadre de ses initiatives de formations.
2. Utiliser des simulations d’hameçonnage qui répondent à des faiblesses spécifiques
Changements de mot de passe, téléchargement de pièce jointe suspecte, ou encore mise à jour d’informations personnelles, vos modèles de simulation d’hameçonnage doivent correspondre aux comportements que vous souhaitez cibler avec votre programme de formation plus large. Au fil du temps, vous pouvez également augmenter le niveau de difficulté en incluant de nouveaux scénarios et contrer les menaces émergentes.
3. Collecter des données de simulation d’hameçonnage en temps réel
La collecte de données à la suite de simulations d’hameçonnage en temps réel facilite grandement le processus de maintien et d’optimisation de votre niveau de sensibilisation à la sécurité sur une base trimestrielle ou annuelle. Ces données éclairent également les comportements à cibler lors de futures simulations, pour la mise en place de nouvelles formations ou lors d’autres actions de renforcement.
4. Suivre et contrôler les progrès des utilisateurs
Le suivi continu des progrès des utilisateurs à la suite de simulations d’hameçonnage aidera l’équipe dirigeante de votre organisation à mieux évaluer les domaines à améliorer et, plus généralement, à maximiser le retour sur investissement de votre cybersécurité.
5. Déployer des modules de formation offrant un retour d’information instantané
Qu’il s’agisse d’un simple clic ou de la participation de chaque employé à une simulation d’hameçonnage, la fourniture de modules de formation juste-à-temps avec un retour d’information instantané permet à chacun d’accéder régulièrement à des informations exploitables et aux meilleures pratiques.
Pour conclure
Le Gone Phishing Tournament a montré que, même si les cybermenaces continuent de faire les gros titres dans le monde entier, de nombreuses organisations et leurs utilisateurs peuvent encore s’améliorer en matière de détection et de prévention d’hameçonnage. Cette réalité est aussi une occasion pour les organisations d’investir dans la formation de leurs employés et de s’assurer que chacun dispose des outils nécessaires pour assurer la sécurité des informations sensibles.
Des données d’analyse comparative sur l’hameçonnage gratuite pour former vos cyberhéros
Favorisez un réel changement de comportement et améliorez votre programme de formation en sensibilisation à la sécurité grâce à des données d’analyse comparative détaillées, et les recommandations d’experts.