La routine de la sensibilisation à la cybersécurité, vous avez l’impression de tout faire pour en sortir et pourtant votre mètre étalon reste le phishing ?
Rien d’étonnant à cela, c’est le retour que nous partagent de nombreux RSSI.
Les tests de phishing ont (presque) fait leur temps
Top clickers, very exposed people : bien sûr ce sont des concepts et des populations à sensibiliser de façon spécifique. Mais il y a des limites à ce que peuvent permettre d’adresser les campagnes de test de phishing :
- Faux sentiment de sécurité : la progression des scores sur des campagnes de phishing de masse contextualisées est trompeuse. Le phishing ciblé (spearphishing) permettra toujours d’aller plus loin.
- Vu très partielle : un phishing réussi c’est aussi la combinaison de nombreux facteurs, notamment l’exploitation de toutes les informations disponibles sur une personne donnée sur les réseaux sociaux (LinkedIn, Facebook, TikTok…) pour contextualiser l’attaque. Les campagnes habituelles de phishing ne font pas ce lien.
- Routine : les utilisateurs sont bercés par « encore une campagne de phishing », ils ont l’impression de progresser, alors qu’il leur manque l’essentiel des codes sur tous les sujets en explosion basés sur l’ingénierie sociale de plus en plus couplée à l’IA (voire notre article sur les risques Liés à l’IA).
Alors des campagnes de phishing, pourquoi pas. Mais il faut équilibrer les sujets de compétences cyber.
Les sujets liés à l’ingénierie sociale doivent prendre le dessus.
Le phishing est rentré dans le langage commun, le spearphishing (phishing ciblé), le vishing (phishing vocal) et le whaling (pêche au gros) le seront probablement bientôt. L’évolution de ces cyberattaques a toujours pour finalité d’exploiter les privilèges dont dispose un utilisateur sur le système.
Pour faciliter leur tâche, les cyberattaquants peuvent désormais :
- Cibler et profiler les personnes sur les réseaux sociaux pour typer les attaques en fonction : des opinions, du job et des responsabilités, des loisirs, du dernier endroit ou la cible a passé ses vacances, des amis
- Industrialiser les attaques en les automatisant et en les nourrissant avec des scripts intelligents.
En résumé, attaquer une cible de choix est devenu très peu couteux en ressources en l’espace de quelques années.
Une stratégie de montée en compétence cyber des collaborateurs doit permettre à chacun de s’approprier cela, pour mieux savoir à quel type d’attaque s’attendre.
Retrouvez CYBER SNAP où Emilien aborde la sensibilisation cyber sous l’angle de dilemmes !
Le top des sujets 2024 anti routine !
Des exemples et du concret valent mieux que de longs discours.
Vous pouvez combiner de nombreuses approches pour créer une dynamique de groupe efficace et positive.
- Les ambassadeurs : faites monter en compétence des ambassadeurs en leur permettant de s’exprimer simplement sur des sujets présumés complexes. Ils seront fiers vis-à-vis de leurs collègues mais aussi à la maison.
- Des challenges collectifs : organisez des évènements inter équipes sur tous les sujets d’actualités cyber (IA, Deepfakes, fraudes au président, vishing…). Avec des mises en situation, du type escape game, pour permettre à chaque équipe de se distinguer.
- Des challenges individuels : permettez à des utilisateurs d’évaluer ce qu’ils connaissent vraiment sur tous les thèmes. Abordez des sujets qui les aident à la maison et qui sont utiles au bureau.
- Des démos de hack : c’est l’effet whaou qui permet souvent d’amorcer tout le reste. Détournement d’un wifi, cassage d’un mot de passe, deepfake de dirigeants… Ces moments peuvent relever un mois de la cyber.
Vous voulez allez plus loin ? Découvrez l’article sur La préparation au mois de la cyber 2024 : c’est gratuit !