7 min de lecture<\/p>\n
La plupart des programmes de sensibilisation poursuivent un chiffre qui bouge \u00e0 peine. Le taux de clic moyen dans les simulations de phishing se situe, selon Verizon, autour de 1,5\u202f% et diminue tr\u00e8s peu malgr\u00e9 une formation continue. Qui mesure son programme \u00e0 cette m\u00e9trique optimise une valeur proche de son plancher et n\u00e9glige le levier qui compte r\u00e9ellement\u202f: la rapidit\u00e9 et la fr\u00e9quence avec lesquelles les salari\u00e9s signalent une attaque.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Liens associ\u00e9s\u00a0:<\/span>Passkeys dans les PME\u202f: la fin du mot de passe<\/a> \/<\/span> Vol de jetons OAuth\u202f: comment les attaquants contournent l\u2019authentification multifacteur<\/a><\/p>\n Qu\u2019est-ce que la formation \u00e0 la sensibilisation \u00e0 la s\u00e9curit\u00e9\u202f?<\/strong> Le Security-Awareness-Training est la formation syst\u00e9matique des salari\u00e9s afin qu\u2019ils reconnaissent les attaques telles que le phishing, y r\u00e9pondent correctement et les signalent. Il comprend des contenus d\u2019apprentissage, des attaques simul\u00e9es pour mesurer et des r\u00e9p\u00e9titions \u00e0 intervalles. L\u2019objectif est une main\u2011d\u2019\u0153uvre qui agit comme capteur d\u2019attaques.<\/p>\n La logique derri\u00e8re la plupart des programmes est simple\u202f: on forme, on simule, on mesure le taux de clic et on s\u2019attend \u00e0 ce qu\u2019il diminue. Cela fonctionne pendant un certain temps. Puis arrive le moment o\u00f9 chaque nouvelle session de formation ne fait bouger le chiffre que dans les d\u00e9cimales. Verizon situe la m\u00e9diane sur de nombreuses organisations \u00e0 environ 1,5\u202f%. Cela repr\u00e9sente un plancher comportemental que la formation seule ne franchit pas.<\/p>\n Ce plancher a des raisons physiques. Les personnes travaillent sous pression, en multit\u00e2che, avec une attention partielle. Un leurre bien con\u00e7u un jeudi apr\u00e8s\u2011midi touche m\u00eame les personnes form\u00e9es. R\u00e9duire le taux de clic \u00e0 z\u00e9ro \u00e9choue face \u00e0 la capacit\u00e9 humaine. Le budget qui s\u2019alloue aux derniers dixi\u00e8mes de pourcentage apporte peu de r\u00e9duction de risque mesurable.<\/p>\n La valeur int\u00e9ressante se trouve de l\u2019autre c\u00f4t\u00e9. Les m\u00eames donn\u00e9es Verizon montrent que les salari\u00e9s form\u00e9s au cours des 30 derniers jours signalent le phishing simul\u00e9 environ quatre fois plus souvent que les non form\u00e9s, 21\u202f% contre 5\u202f%. Ce taux de signalement est op\u00e9rationnellement pr\u00e9cieux, car il agit directement sur le temps de r\u00e9action. Une attaque signal\u00e9e \u00e0 9\u202fh\u202f05 peut \u00eatre contenue avant que, \u00e0 9\u202fh\u202f40, les premiers coll\u00e8gues ne re\u00e7oivent le m\u00eame leurre.<\/p>\n Pour l\u2019\u00e9quipe de s\u00e9curit\u00e9, cela inverse la logique de pilotage. Au lieu de sanctionner les salari\u00e9s pour un clic, il est plus judicieux de rendre le signalement aussi simple que possible\u202f: un bouton dans le client de messagerie, une confirmation que le signalement a bien \u00e9t\u00e9 re\u00e7u, aucune r\u00e9primande en cas de fausse alerte. Un personnel qui signale devient un r\u00e9seau de capteurs distribu\u00e9. L\u00e0 o\u00f9 seule la statistique de clics compte, les personnes se taisent en cas de doute, et le pr\u00e9curseur pr\u00e9coce se perd.<\/p>\n La m\u00eame \u00e9tude fournit une seconde constatation inconfortable\u202f: une petite groupe d\u2019environ 8\u202f% des salari\u00e9s supporte une part disproportionn\u00e9e des incidents r\u00e9currents. Cela bouleverse fondamentalement l\u2019\u00e9conomie de la formation. Qui impose \u00e0 tous les employ\u00e9s le m\u00eame programme annuel d\u00e9pense la majeure partie du budget pour les d\u00e9j\u00e0 prudents et en alloue trop peu \u00e0 la petite groupe o\u00f9 les incidents se concentrent.<\/p>\n Concr\u00e8tement, cela signifie exploiter les donn\u00e9es des simulations pour segmenter, et non seulement pour obtenir un taux global. Les comptes qui se d\u00e9marquent de fa\u00e7on r\u00e9currente re\u00e7oivent des intervalles plus courts, des exercices cibl\u00e9s et, le cas \u00e9ch\u00e9ant, des garde-fous techniques plus stricts. C\u2019est une gestion du risque sobre. Soixante pour cent de toutes les violations de s\u00e9curit\u00e9 comportent, selon Verizon, un facteur humain, le phishing \u00e9tant impliqu\u00e9 dans environ 16\u202f% des intrusions. On travaille plus pr\u00e9cis\u00e9ment avec un groupe \u00e0 risque qu\u2019avec une formation moyenne.<\/p>\n La r\u00e9ponse la plus efficace au phishing d\u00e9place le probl\u00e8me loin du jugement humain. L\u2019authentification r\u00e9sistante au phishing selon la norme FIDO2, pratiquement appel\u00e9e Passkeys<\/a>, lie cryptographiquement la connexion au domaine r\u00e9el. Un dialogue de connexion falsifi\u00e9 ne re\u00e7oit tout simplement aucune donn\u00e9e exploitable, car il n\u2019existe plus de mot de passe \u00e0 saisir et \u00e0 transmettre.<\/p>\n\n
Le taux de clic heurte un plancher dur<\/h2>\n
Signaler r\u00e9v\u00e8le plus sur un programme que cliquer<\/h2>\n
Huit pour cent portent la majeure partie du risque<\/h2>\n
La technologie enl\u00e8ve la d\u00e9cision \u00e0 l\u2019utilisateur<\/h2>\n