Sensibilisation à la cybersécurité avec un exercice d’hameçonnage

Les courriels sont essentiels dans la conduite des affaires pour les entreprises, mais ils constituent également un vecteur d’attaque attrayant et une cible privilégiée pour les criminels opérant sur Internet. Le courriel est la ligne de front où les utilisateurs doivent se défendre contre des acteurs malveillants qui tentent de voler des informations, d’obtenir des informations d’accès ou compromettre l’infrastructure. La technique la plus largement utilisée par les cybercriminels, l’hameçonnage, consiste à envoyer des courriers électroniques frauduleux aux utilisateurs et conduisent ces derniers à prendre des mesures susceptibles de compromettre la sécurité de l’entreprise.

Cet article décrit les composants fondamentaux d’un programme complet qui forme, teste, mesure et améliore la cybersécurité d’une organisation afin de se défendre contre les attaques d’hameçonnage. Sur la base des recommandations du National Institute of Standards and Technology (NIST) en matière de meilleures pratiques en cybersécurité, Michael Miranda a mis au point ce programme de formation centré sur l’hameçonnage à déployer dans des organisations gouvernementales et du secteur privé. Ce programme complet comprend les activités principales suivantes:

  1. Formation à la détection de l’hameçonnage et réponse aux incidents: l’entreprise et ses utilisateurs doivent être formés avant de tester leurs capacités à détecter l’hameçonnage et à y réagir.
  2. Obtenir l’approbation des gestionnaires: les exercices de détection de l’hameçonnage ne doivent être initiés qu’avec le consentement exprimé des responsables de l’organisation.
  3. Développement des scénarios d’exercice de formation: De nombreux courriels d’hameçonnage soient envoyés aléatoirement à des cibles, mais ils sont souvent détectés par les outils de sécurité automatisés de courrier indésirable. Les courriels d’hameçonnage les plus efficaces sont ceux conçus pour se familiariser avec les activités de l’organisation ou de l’utilisateur ciblé.
  4. Sélectionner et déployer l’outil: l’organisation peut commencer à évaluer les outils permettant d’atteindre les objectifs établis du programme de formation
  5. Implémentation et test des scénarios: Tester les scénarios d’exercice est essentiel pour valider les objectifs de formation.
  6. Développer et mettre en œuvre la réponse aux incidents: la formation doit être gérée de manière appropriée afin de résoudre les incidents
  7. Commencer l’exercice: il est important de prendre en compte le fait que les utilisateurs ne consultent pas leurs courriels à intervalles réguliers. Par conséquent, l’exercice doit être planifié de manière à s’assurer que le plus grand nombre d’utilisateurs recevront et ouvriront le courriel de l’exercice.
  8. Rapport sur les statistiques: une fois l’exercice terminé, des statistiques doivent être compilées pour déterminer l’efficacité de la formation.

Les organisations doivent fournir  les ressources nécessaires pour protéger les services de courriels et  en renforcer leur utilisation. Il est impératif que les entreprises forment leurs employés à l’identification des tentatives d’hameçonnage. En mettant en place un programme complet de formation à l’hameçonnage, les risques associés à cette menace peuvent être raisonnablement atténués.

Cite: Miranda, M. J. A.(2018). Enhancing Cybersecurity Awareness Training: A Comprehensive Phishing Exercise Approach. International Management Review14.

Source: http://scholarspress.us/journals/IMR/pdf/IMR-2-2018/IMR-v14n2art1.pdf