Parce que… c’est l’épisode 0x329!

Shameless plug

• 10 au 13 août 2023 - DEFCON
• 29 au 31 août 2023 - Google Next ‘23
• 21 au 23 novembre 2023 - European Cyber Week
• février 2024 - SéQCure
• Formation Crise et résilience
  • Ateliers et conférences (Auto évaluation)
  • Formation PCA 2022
  • 4 Guides pour survivre à une CyberCrise
  • Formation PCA en ligne

Description

Le podcast explore le sujet des tests de phishing dans les organisations. Stéphane et l’animateur discutent des avantages et des inconvénients de ces tests.

Dans le secteur professionnel actuel, ces tests sont souvent réalisés en envoyant des e-mails génériques à partir d’un outil spécifique afin de sensibiliser les employés aux dangers du phishing. Cependant, les animateurs notent que cette approche a tendance à créer une paranoïa supplémentaire sans nécessairement réduire le nombre de clics sur de véritables courriels malveillants.

Une critique majeure de ces tests est qu’ils tendent à se baser sur des campagnes synthétiques qui ne reflètent pas les véritables menaces auxquelles les employés sont confrontés. Cela crée une situation où les employés sont formés pour identifier des menaces qui ne sont pas réellement pertinentes, ce qui peut, dans certains cas, conduire à une surcharge de travail pour les équipes de sécurité.

Ils soulèvent également le problème de la désensibilisation. En organisant fréquemment ces tests, les employés peuvent devenir moins vigilants, considérant ces alertes comme des routines plutôt que des menaces potentiellement sérieuses. Par conséquent, la pratique actuelle de sensibilisation au phishing a tendance à ne pas améliorer réellement la sécurité et peut même augmenter les risques en réduisant la vigilance des employés.

Les hôtes suggèrent que pour être vraiment efficaces, les programmes de sensibilisation au phishing devraient être accompagnés d’un soutien technologique qui peut aider à signaler les courriels suspects et encourager les employés à réfléchir deux fois avant de cliquer sur un lien. Des mesures préventives pourraient également être mises en place, comme des retards dans le chargement des liens pour donner aux employés le temps de réfléchir avant d’ouvrir potentiellement des contenus malveillants.

Ils insistent sur l’importance de favoriser une culture où les employés se sentent capables de signaler des incidents sans crainte de répercussions négatives. De plus, les organisations devraient chercher à éduquer les employés sur les actions à entreprendre en cas de clic sur un lien malveillant, y compris changer leurs mots de passe et signaler l’incident.

Enfin, les animateurs soulignent que même les experts en sécurité peuvent être victimes de phishing et ils partagent leurs propres expériences à cet égard, soulignant que personne n’est à l’abri. Il est donc primordial de développer une vraie compétence et non juste partager une information générale.

Dans l’ensemble, le podcast met en avant que les tests de phishing tels qu’ils sont actuellement menés sont largement inefficaces et potentiellement contre-productifs. Il appelle à une refonte de ces programmes pour mieux éduquer les employés sur les véritables risques et sur les mesures à prendre pour assurer la sécurité de leurs données et celles de l’organisation.

Notes

• À venir

Collaborateurs

• Nicolas-Loïc Fortin
• Stéphane Laberge

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: phishing, sensibilisation, spearphishing