Connect with us

Technologie

Les tests d’hameçonnage sont un exercice utile, mais n’en faites pas trop

Published

on


L’année dernière Rapport sur les violations de données Verizon a constaté que 80% de toutes les attaques de cybersécurité ont commencé par un e-mail de phishing incitant le destinataire à cliquer sur un lien, à ouvrir un document ou à télécharger un fichier, il n’est donc pas surprenant que les entreprises souhaitent sensibiliser et tester la capacité de leurs employés à repérer les contrefaçons. Et à mesure que les cybercriminels deviennent de plus en plus sophistiqués en matière d’ingénierie sociale, les exercices d’attaque simulés doivent imiter avec précision les tactiques, les techniques et les procédures utilisées par les véritables attaquants.

Les meilleurs crochets pour une campagne de phishing ont tendance à être ceux qui auront le plus d’impact émotionnel sur la cible qui jouent sur nos peurs ou nos angoisses, ou fournissent de l’espoir, une récompense et une incitation.

Pendant la pandémie, les cybercriminels ne se sont pas retenus et ont pleinement profité de la crise avec des offres de faux paiements, des tests Covid-19 à prix réduit, des EPI et des vaccinations. Au plus fort du coronavirus en 2020, Kaspersky a identifié plus de 5 000 sites Web de phishing liés à la pandémie.

Mais quand il s’agit de concevoir des tests de phishing pour voir à quel point votre personnel est bon pour repérer les faux, où tracez-vous la ligne? West Midlands Trains a fait la une des journaux l’année dernière, accusé d’avoir dépassé les bornes. L’entreprise a envoyé un courriel à environ 2 500 employés pour les remercier de leur travail acharné pendant la pandémie et offrir un paiement unique en récompense.

Mais ceux qui ont cliqué sur le lien pour lire un message du directeur général ont reçu un e-mail avec un message leur disant qu’il s’agissait d’un « test de simulation de phishing » conçu par l’entreprise et qu’il n’y aurait pas de bonus.

Cet incident a inévitablement suscité beaucoup de critiques et de débats, notamment parmi les entreprises et les équipes de sécurité internes qui exécutent ces exercices simulés. Chaque crochet que nous utilisons pour un test d’ingénierie sociale a une chance de contrarier une personne ciblée, il doit donc y avoir un équilibre entre le réalisme d’une simulation et l’obligation de protéger les employés du stress ou du préjudice.

Moralement, nous avons un devoir de diligence envers ceux que nous ciblons, ce qui signifie que nous devons minimiser la détresse. Mais c’est une zone grise dans laquelle les professionnels de la cybersécurité doivent naviguer avec leurs clients.

Plutôt que de se demander si les tests de phishing comme celui effectué par West Midlands Trains sont moralement mauvais, il peut être préférable de se demander s’ils sont contre-productifs. La cybersécurité est un problème de l’ensemble de l’entreprise, pas seulement un problème informatique, et les meilleurs résultats en matière de sécurité sont obtenus avec une main-d’œuvre positive et engagée. Si ces exercices peuvent amener les employés à se sentir contrariés, lésés et moins valorisés, cela risque en fin de compte de nuire à la résilience globale en matière de cybersécurité.

Bien sûr, le contre-argument est que les cybercriminels n’ont aucun scrupule quant aux émotions avec lesquelles ils vont jouer pour atteindre leurs fins – ce qui peut être dévastateur pour les entreprises et leurs employés. L’ingénierie sociale consiste à mentir aux gens, à abuser de la confiance ou à trahir les relations. Ce sont des tactiques que les adversaires utilisent sans tenir compte de leurs victimes, et si nous voulons simuler avec précision la chaîne d’attaque, nous devons également adopter ces techniques.

Bien que ce soit un point valable, il n’est dans aucun de nos intérêts de perdre de vue le bien-être de nos victimes humaines lorsqu’ils simulent des adversaires avancés. Une meilleure façon de faire passer ce message à la population d’utilisateurs est de les éduquer sur les types de pression psychologique que les criminels ont tendance à appliquer.

Même un taux de réponse nul sur tout type d’exercice de phishing n’est pas une raison pour s’attendre à ce que votre personnel soit à l’abri des risques de l’ingénierie sociale d’un adversaire déterminé. Cela peut être une mesure utile à mesurer, mais un attaquant n’a besoin que d’un seul pied dans une organisation pour provoquer le chaos. La véritable résilience réside dans la défense en profondeur et une suite de contrôles en couches.

Briser la confiance avec les employés en négligeant les soins de ceux qui ont été victimes d’attaques d’ingénierie sociale peut endommager les relations mêmes sur lesquelles vous comptez pour protéger vos actifs et vos données. Alors que l’ingénierie sociale doit être faite pour soutenir la simulation de la chaîne d’attaque, nous devons être conscients du coût humain et prendre des mesures pour nous assurer que les dommages causés aux victimes sont minimisés. C’est un paysage peint dans des tons de gris, mais nous oublions l’humanité de nos cibles à nos risques et périls.

Gemma Moore est directrice chez Cyberis

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance