Le phishing, un genre de cyberattaque qui reste très important au sein des entreprises
Un mail censé provenir des ressources humaines a convaincu plus d'un cinquième des destinataires de cliquer dessus. La majorité d'entre eux l'ayant fait dans l'heure qui a suivi la réception du message frauduleux. Voilà ce qui ressort d’une étude de l’entreprise finlandaise de cybersécurité F-Secure.
Méthodologie : F-Secure a testé plus de 82 000 participants de quatre organisations pour compiler son étude intitulée "To Click or Not to Click : What We Learned from Phishing 80,000 People." Cela a révélé que les mails ayant un impact personnel entraînaient davantage de clics et que les équipes techniques - telles que les équipes IT et DevOps - cliquaient tout aussi souvent. Elles signalent aussi moins souvent les attaques de phishing suspectes que les équipes non techniques.
La leçon à retenir de cette étude : la rapidité est essentielle. Une façon d'améliorer le taux de signalement et la rapidité est de rendre le signalement très simple, par exemple en cliquant sur un bouton. Deux entreprises qui ne disposaient pas d'un moyen aussi simple de signaler les attaques de phishing suspectes avaient un taux de signalement moyen inférieur à 15 %. Tandis qu'une troisième entreprise qui disposait d'un bouton avait un taux de signalement de 45 %.
On apprend dans cette étude que le fait de travailler dans l'informatique ou dans une équipe de DevOps n'équivalait pas à un meilleur jugement lors de l'évaluation des attaques potentielles de phishing. Dans les deux organisations où les collaborateurs travaillaient dans les services informatiques ou DevOps, les deux groupes ont cliqué sur les mails de test. Et ce avec une probabilité égale (ou supérieure) à celle des autres départements de leur entreprise, lit-on dans l’étude.
Dans l'une des sociétés, 26 % des membres de l'équipe DevOps et 24 % des membres de l'équipe informatique ont cliqué sur la charge utile (payload) de phishing de test. Le chiffre s’élève à 25 % pour l'ensemble de l'organisation. Tandis que 30 % des membres de l'équipe DevOps et 21 % des membres de l'équipe informatique ont cliqué sur la charge utile de phishing dans la deuxième organisation, contre 11 % pour l'ensemble.
Les résultats montrent probablement la différence entre les salariés qui ont été formés à la sécurité informatique et ceux qui ont une nature méfiante qui complète un poste dans la sécurité informatique. "Le phishing est classé dans la catégorie des problèmes de sécurité de l'information - et c'est le cas - mais il s'agit aussi d'un simple moyen d'escroquerie. C'est la même chose que de se faire dérober quelque chose alors que l'on regarde ailleurs. Et il y a une mentalité pour se défendre contre cela", a expliqué Matthew Connor, l’un des auteurs de l’étude.