Tests phishings pour la sensibilisation, attention au gadget !

En matière de sensibilisation des utilisateurs, la simulation d’attaques de phishing est à la mode. Si ce type de tests présente un réel intérêt, il faut faire attention à ne pas en faire le dispositif central de sa stratégie de sensibilisation. 

Parlons tout d’abord des points forts de ce type d’opérations. Le principe de ce type de tests est relativement simple. Il s’agit d’envoyer à une population cible un e-mail similaire à ceux qui sont utilisés pour de réelles opérations de phishing. On commence donc par choisir un scénario plus ou moins réaliste qui, en plus de faire cliquer le destinataire, va également chercher à obtenir certaines informations personnelles ou confidentielles, ou encore à faire ouvrir une pièce jointe. On envoie ensuite le e-mail de test phishing à la population ciblée. Si une personne clique sur le lien contenu dans l’e-mail, elle arrive sur une « oups » page qui peut au choix : simplement lui indiquer qu’elle a cliqué sur ce qui aurait pu être un phishing réel, lui souligner les éléments qui auraient dû attirer son attention, ou encore lui fournir un support complémentaire de sensibilisation sur le phishing. 

L’intérêt de ce type d’opérations est réel. La personne qui a cliqué se rend compte immédiatement de son erreur et on peut supposer qu’elle fera plus attention à l’avenir. Le taux de personnes se faisant prendre peut également être un indicateur dans le temps du niveau de maturité face aux attaques de phishings.

Ce type d’opérations présentent cependant aussi un certain nombre de points faibles :

  • Quand une personne ne clique pas cela ne veut pas dire qu’elle a détecté qu’il s’agit d’une tentative de phishing et qu’elle est sensibilisée. Cela peut en effet vouloir dire qu’elle n’a simplement pas vu le message, que le sujet ne l’intéresse pas ou ne l’interpelle pas, qu’elle est trop occupée par ailleurs. 
  • Cela revient à ne sensibiliser que les personnes qui se font prendre alors que tout le monde a besoin d’être sensibilisé.
  • La tendance dans ces outils est de tester les collaborateurs sur ce qu’on appelle le phishing de masse. Cependant les attaques les plus dangereuses et qui coûtent le plus cher aux entreprises sont le fait de phishing ciblés (spear phishing) et de techniques d’ingénierie sociale. Le seul moyen pour éviter au maximum que les collaborateurs se fassent piéger est bien de mener des campagnes de sensibilisation, de formation sur ces sujets. 
  • En cherchant à rendre un test phishing le plus réaliste possible, on s’expose également à l’utilisation non autorisée d’une marque dans le cadre d’une opération de nature à dévaloriser cette même marque. Que penserait par exemple la direction de la communication de BNP Paribas si un test phishing reprenant sa marque est diffusée auprès, par exemple, de tous les salariés de la SNCF.
  • Ce type d’opérations peut aussi être mal perçue par les collaborateurs qui ont le sentiment qu’on essaye de les piéger. Cette perception négative peut également être un obstacle à la construction d’une sécurité positive vecteur de protection et de création de valeur.

Il convient donc selon nous, d’utiliser ces test phishing à bon escient et d’en faire un instrument possible au service d’une stratégie de sensibilisation globale. 

Nos 13 années d’expérience nous ont ainsi montré chez les clients que nous avons accompagnés sur une durée assez longue une réelle progression de la culture cyber avec une réelle diminution du nombre d’incidents de sécurité.