Discussion :

[Stéphane le calme]

Tests de hameçonnage : un outil de sensibilisation qui frôle la duperie ? Un employé de Google demande à son entreprise d'arrêter d'essayer de piéger ses collègues avec de faux courriels d'hameçonnage,
et propose une autre approche

Les entreprises cherchent constamment des moyens pour renforcer les compétences de leurs employés face aux menaces en ligne. Parmi les pratiques courantes, on trouve les tests de hameçonnage simulés, où les employés reçoivent des e-mails factices pour tester leur vigilance. Cependant, cette méthode, autrefois louée, fait désormais l’objet de critiques.

Votre entreprise vous a-t-elle récemment envoyé un courriel d'hameçonnage ? Les employeurs simulent parfois des messages d'hameçonnage pour apprendre à leurs employés à repérer les menaces de piratage. Mais un responsable de la sécurité chez Google estime que le secteur des technologies de l'information doit abandonner cette pratique, qu'il qualifie de contre-productive.

Matt Linton, un gestionnaire de sécurité chez Google, a pris position contre ces tests de hameçonnage simulés. Dans un tweet et un article de blog, il a exprimé que ces exercices sont dépassés et qu’ils engendrent plus de ressentiment chez les employés qu’ils n’améliorent leurs pratiques de sécurité.

Dans le cadre de ces tests, Google envoie à un employé un courriel de phishing. Si l'employé clique sur un lien contenu dans l'e-mail, il est informé qu'il a échoué au test et doit généralement suivre une sorte de cours de formation. Toutefois, Linton estime que les tests de hameçonnage simulés peuvent avoir des effets secondaires néfastes, susceptibles de compromettre la sécurité d'une entreprise.

Linton souligne que non seulement ces tests ne réduisent pas le nombre d’incidents de hameçonnage réussis, mais ils peuvent également avoir des effets secondaires nuisibles qui compromettent la sécurité de l’entreprise. Il cite une étude de 2021 qui a duré 15 mois et qui conclut que ces tests ne rendent pas les employés plus résistants au hameçonnage. En d’autres termes, malgré ces exercices, les attaques de hameçonnage continuent d’aider les pirates à pénétrer dans les réseaux.

« Il n'y a aucune preuve que les tests permettent de réduire le nombre de campagnes de phishing réussies », a déclaré Linton, notant que les attaques de phishing continuent d'aider les pirates à s'implanter dans les réseaux, en dépit de ces formations. Il a également cité une étude réalisée en 2021 sur une période de 15 mois, qui a conclu que ces tests d'hameçonnage ne rendaient pas les employés plus résistants à l'hameçonnage.

PSA for Cybersecurity folk: Our co-workers are tired of being "tricked" by phishing exercises y'all, and it is making them hate us for no benefit.

I have many thoughts that won't fit in a (non-bluecheck) tweet, so you can find them here:https://t.co/jPHuIK3llv

— Matt Linton (@0xMatt) May 22, 2024

Perception inexacte des risques

Dans le cas de Google, Linton a fait remarquer que ses propres tests de simulation d'hameçonnage ne reflètent pas toujours fidèlement la façon dont une attaque apparaît dans la boîte de réception d'un employé. En effet, pour fonctionner, ces courriels doivent contourner les défenses anti-hameçonnage existantes de l'entreprise. « Cela crée une perception inexacte des risques réels et permet aux équipes de test de pénétration d'éviter d'avoir à imiter les tactiques des attaquants modernes », a-t-il déclaré.

L'autre problème est que les tests d'hameçonnage simulés peuvent ennuyer les employés et susciter du ressentiment. Les employés sont contrariés par ces tests et ont l'impression que la sécurité les « trompe », ce qui dégrade la confiance avec nos utilisateurs qui est nécessaire pour que les équipes de sécurité apportent des améliorations systémiques significatives et lorsque nous avons besoin que les employés prennent des mesures opportunes liées à des événements de sécurité réels", a-t-il ajouté.

Selon Linton, les tests de phishing simulés reviennent à forcer les employés à évacuer rapidement un bâtiment lors d'un exercice d'incendie, sauf que de la fumée et des flammes réelles sont projetées dans les locaux. « Une fois à l'extérieur, si vous avez pris trop de temps, on vous réprimande pour avoir réagi de manière inappropriée et on vous dit que vous devez mieux vous entraîner pour la prochaine fois. Est-ce un moyen efficace d'inspirer confiance et de s'entraîner à l'évacuation en cas d'incendie ? » a-t-il ajouté sur LinkedIn.

L'argument principal de Linton est qu'il est impossible de « corriger » les gens et de les empêcher de cliquer sur des messages d'hameçonnage. C'est pourquoi les entreprises doivent investir dans des technologies anti-hameçonnage, telles que les clés de sécurité matérielles et les passkeys, afin d'éradiquer la menace dès le départ.

Mais cela ne signifie pas non plus que les entreprises doivent abandonner les tests d'hameçonnage. Il préconise plutôt que les entreprises adoptent une formation au phishing plus transparente et plus instructive, qui ne fasse pas l'impasse sur la honte. Il pourrait s'agir d'envoyer un courriel qui dise clairement aux utilisateurs : « Je suis un courriel d'hameçonnage. C'est un exercice - ce n'est qu'un exercice ».

L'argumentation de Matt Linton

Les « tests d'hameçonnage » modernes ressemblent fortement aux premiers « tests d'incendie »

Google est actuellement soumis à des réglementations (par exemple, FedRAMP aux États-Unis) qui l'obligent à effectuer des « tests d'hameçonnage » annuels. Dans le cadre de ces tests obligatoires, l'équipe chargée de la sécurité crée et envoie des courriels d'hameçonnage aux Googlers, compte le nombre d'entre eux qui interagissent avec le courriel et leur explique comment « ne pas se laisser abuser » par l'hameçonnage. Ces exercices permettent généralement de recueillir des données sur les courriels envoyés et sur le nombre d'employés qui ont échoué en cliquant sur le lien leurre. En général, les employés qui échouent à l'exercice doivent suivre une formation complémentaire. Selon le document d'orientation FedRAMP sur les tests d'intrusion : « Les utilisateurs sont la dernière ligne de défense et doivent être testés.

Ces tests ressemblent aux premiers « tests d'évacuation » auxquels les occupants d'un bâtiment étaient autrefois soumis. Ils exigent des individus qu'ils reconnaissent le danger, qu'ils réagissent individuellement d'une manière « appropriée », et on leur dit que tout échec est un échec individuel de leur part plutôt qu'un problème systémique. Pire encore, les directives de FedRAMP exigent que les entreprises contournent ou éliminent tous les contrôles systématiques pendant les tests afin de garantir que la probabilité qu'une personne clique sur un lien d'hameçonnage est artificiellement maximisée.

Parmi les effets secondaires néfastes de ces tests :

• Rien ne prouve que ces tests permettent de réduire le nombre de campagnes de phishing réussies ;
  
  • Le phishing (ou plus généralement l'ingénierie sociale) reste l'un des principaux vecteurs de pénétration des attaquants dans les entreprises.
  • La recherche montre que ces tests n'empêchent pas efficacement les gens de se faire avoir. Cette étude portant sur 14 000 participants a mis en évidence l'effet contre-productif des tests d'hameçonnage, en montrant que les « cliqueurs récidivistes » échouent systématiquement aux tests en dépit d'interventions récentes.
• Certains tests d'hameçonnage (par exemple, FedRAMP) exigent de contourner les défenses anti-hameçonnage existantes. Cela crée une perception inexacte des risques réels, permet aux équipes de tests de pénétration d'éviter d'avoir à imiter les tactiques modernes des attaquants et crée un risque que les listes d'autorisation mises en place pour faciliter le test soient accidentellement laissées en place et réutilisées par les attaquants.
• La charge de travail des équipes de détection et de réaction aux incidents (D&R) s'est considérablement accrue au cours de ces tests, car les utilisateurs les saturent de milliers de rapports inutiles.
• Les employés sont contrariés par ces rapports et ont l'impression que la sécurité les « piège », ce qui dégrade la confiance avec nos utilisateurs qui est nécessaire pour que les équipes de sécurité apportent des améliorations systémiques significatives et lorsque nous avons besoin que les employés prennent des mesures opportunes liées à des événements de sécurité réels.
• Dans les grandes entreprises disposant de plusieurs produits indépendants, les employés peuvent se retrouver avec de nombreux tests d'hameçonnage requis qui se chevauchent, ce qui entraîne des charges répétées.

Former des humains à éviter le phishing ou l'ingénierie sociale avec un taux de réussite de 100 % est une tâche probablement impossible. Il est utile d'apprendre aux gens à repérer le phishing et l'ingénierie sociale afin qu'ils puissent alerter les services de sécurité pour qu'ils interviennent en cas d'incident. En s'assurant que même un seul utilisateur signale les attaques en cours, les entreprises peuvent activer des réponses complètes, qui constituent un contrôle défensif intéressant permettant d'atténuer rapidement les attaques, même les plus avancées. Mais, tout comme les professionnels de la sécurité incendie sont passés à une formation à l'évacuation régulière et annoncée à l'avance plutôt qu'à des exercices surprises, l'industrie de la sécurité de l'information devrait s'orienter vers une formation qui ne mette pas l'accent sur les surprises et les astuces, mais qui donne la priorité à une formation précise sur ce que nous voulons que le personnel fasse dès qu'il repère un courriel d'hameçonnage - en mettant particulièrement l'accent sur la reconnaissance et le signalement de la menace de l'hameçonnage.

En bref, nous devons cesser de faire des tests d'hameçonnage et commencer à faire des exercices d'hameçonnage.

Un « exercice de lutte contre l'hameçonnage » viserait à accomplir ce qui suit :

• Sensibiliser nos utilisateurs à la manière de repérer les courriels d'hameçonnage
• Informer les utilisateurs sur la manière de signaler les courriels d'hameçonnage
• Permettre aux employés de s'entraîner à signaler un courriel d'hameçonnage de la manière que nous préférons, et
• Collecter des données utiles pour les auditeurs, telles que :
  
  • le nombre d'utilisateurs qui se sont entraînés à signaler un courriel comme étant un courriel d'hameçonnage
  • le temps écoulé entre l'ouverture de l'e-mail et le premier signalement d'hameçonnage
  • L'heure de la première escalade vers l'équipe de sécurité (et le delta temporel)
  • Le nombre de rapports 1 heure, 4 heures, 8 heures et 24 heures après l'envoi.

Vers une approche plus constructive

En conclusion, l’approche de Google souligne un besoin de changement dans la manière dont les entreprises abordent la formation à la cybersécurité. Plutôt que de piéger les employés, il serait peut-être temps de développer des méthodes plus constructives et empathiques pour renforcer la sécurité en ligne. Peut-être que des simulations plus réalistes, des ateliers interactifs et des formations ciblées pourraient mieux servir cet objectif.

Sources : Matt Linton, Phishing in Organizations: Findings from a Large-Scale and Long-Term Study

Et vous ?

Pensez-vous que les tests de hameçonnage simulés sont une méthode efficace pour sensibiliser les employés aux risques de sécurité en ligne ?
Les exercices de simulation de hameçonnage peuvent-ils créer un climat de méfiance entre les employés et les équipes de sécurité ? Comment peut-on éviter cela ?
Quelles alternatives constructives suggérez-vous pour remplacer les tests de hameçonnage et améliorer la cybersécurité au sein des entreprises ?
Comment les entreprises peuvent-elles équilibrer la nécessité de former leurs employés tout en préservant un environnement de travail sain et respectueux ?
Avez-vous déjà été soumis à un test de hameçonnage simulé ? Si oui, quelle a été votre expérience et quel impact cela a-t-il eu sur votre perception de la sécurité en ligne ?