Discussion :

[Sandra Coret]

Les employés sont doués pour détecter les courriels d'hameçonnage, 33 % des courriels qu'ils signalent comme étant suspects sont effectivement du phishing, d'après F-Secure

Bien que les employés soient parfois considérés comme un maillon faible de la sécurité de l'information, un nouveau rapport de F-Secure montre qu'un tiers des courriels que les collaborateurs signalent comme étant suspects sont en réalité du phishing.

Cette constatation découle d'une analyse des e-mails signalés par les employés d'organisations du monde entier, à l'aide du plugin de signalement des e-mails de F-Secure pour Office 365, au cours du premier semestre 2021.

La raison la plus fréquemment invoquée pour signaler les e-mails est un lien suspect, cité par 59 % des utilisateurs. 54 % ont signalé un courriel en raison d'un expéditeur incorrect ou inattendu, et 37 % en raison d'un soupçon de spam. 34 % des utilisateurs soupçonnent l'utilisation d'ingénierie sociale dans un courriel, tandis que 7 % le signalent en raison d'une pièce jointe suspecte.

99 % des rapports reçus ont été analysés automatiquement. Parmi ceux-ci, 33 % ont été classés comme hameçons. Les professionnels de la sécurité ont examiné manuellement le 1 % restant des courriels signalés et ont constaté que 63 % d'entre eux étaient des tentatives de hameçonnage.

"On entend souvent dire que le personnel est le maillon faible de la sécurité. C'est très cynique et cela ne tient pas compte des avantages qu'il y a à utiliser le personnel d'une entreprise comme première ligne de défense", explique Riaan Naude, directeur du conseil chez F-Secure. "Les employés peuvent intercepter un nombre important de menaces qui arrivent dans leur boîte de réception s'ils peuvent suivre un processus de signalement facile qui produit des résultats tangibles."

Si le signalement des messages suspects permet clairement de lutter contre le problème du phishing, il y a des inconvénients. Pour chaque courriel signalé qu'un professionnel qualifié doit examiner et auquel il doit répondre, M. Naude estime qu'il faut compter entre 15 minutes et une heure, selon le contexte professionnel et la complexité du cas particulier.

Source : F-Secure

Et vous ?

Trouvez-vous ce rapport pertinent ou pas ?
Qu'en est-il dans votre organisation ? quel est le degré de sensibilisation des employés aux attaques de phishing ?
Les signalements d'emails suspects par les employés sont-ils traités sérieusement ?

Voir aussi :

La société GitLab effectue un test de phishing sur ses employés, et 20 % d'entre eux ont donné leurs identifiants

Le travail à distance et hybride rend la lutte contre le phishing plus difficile, 53 % des responsables informatiques signalant une augmentation des incidents, selon Egress

30 % des liens reçus des courriels conduisent à des sites malveillants, 71 % des entreprises reconnaissent en avoir été victimes, selon un rapport de GreatHorn

43 % des employés avouent avoir commis des erreurs qui ont compromis la cybersécurité de leur entreprise, les causes sont multiples et les conséquences sont « dévastatrices », d'après une enquête

[totozor]

Et vous ? Trouvez-vous ce rapport pertinent ou pas ?

Non, ou en tout cas les chiffres donnés ne permettent pas d'arriver à la conclusion présentée.
1/3 des mails signalés comme suspect sont du phishing, so what?
Certaines employés sont prudents, et c'est plutôt bien mais ça ne dit pas que les employés détectent bien les mails de phishing.

Et vous ?
Qu'en est-il dans votre organisation ? quel est le degré de sensibilisation des employés aux attaques de phishing ?
Les signalements d'emails suspects par les employés sont-ils traités sérieusement ?

Nous avons régulièrement des sessions de sensibilisations sous différentes formes.
Nous avons deux ou trois campagnes de test qui disent qu'elles sont de plus en plus efficaces alors que le nombre de gens qui tombent dans le piège n'évolue pas.

Je signale les mails qui me paraissent suspect. Je ne reçoit jamais de retour, même pas un accusé de réception, donc il est difficile d'évaluer la qualité de son traitement. Mais conformément à l'article je vais dire que 0% de ces mails me sont revenus donc les mails sont traités avec une rigueur exemplaire.