Les entreprises sont de plus en plus menacées par les cybercriminels qui tentent d’infiltrer leurs systèmes informatiques en exploitant les comportements des employés vis-à-vis des courriels frauduleux ciblés. Cette pratique est communément appelée harponnage.
Les organisations tentent de sensibiliser leur personnel aux courriels de harponnage en effectuant des tests de simulation d’hameçonnage. Cela implique que l’entreprise envoie de faux courriels d’hameçonnage ciblés à plusieurs employés et surveille le taux de clics résultant. Malgré une focalisation accrue sur les approches de formation et de sensibilisation, les employés restent vulnérables aux attaques d’hameçonnage.
Dans cet article, Emma Williams et ses collègues de l’Université de Bath au Royaume-Uni ont analysé la vulnérabilité des employés au harponnage. Les auteurs ont mené deux études, Étude Un et Étude Deux, dans des cadres organisationnels.
La première étude visait à déterminer si la présence d’indices autoritaires et d’urgence dans des courriels d’hameçonnage avait un impact différent sur la prédisposition des employés à ouvrir ces courriels dans un contexte professionnel. Les données de simulation d’hameçonnage d’une grande organisation du secteur public britannique ont été analysées. Pour tous les types de courrier électronique, le taux de clic moyen était de 19,44 %. Ce résultat a montré que des taux de clic significativement plus élevés ont été trouvés pour les simulations d’hameçonnage contenant des indices d’autorité et d’urgence.
La deuxième étude visait à déterminer si des facteurs externes au message d’hameçonnage en tant que tel pouvaient avoir une incidence sur la vulnérabilité en milieu de travail. Pour atteindre cet objectif, les auteurs ont formé un groupe de discussion (focus group) pour explorer les perceptions des employés concernant la vulnérabilité au harponnage. Les résultats ont porté sur quatre thèmes différents :
- Confiance ou suspicion : Pour ce thème, les auteurs ont analysé les facteurs ayant une incidence sur la confiance des employés dans un courriel, tels que:
- l’authenticité (qui nécessite de prendre des mesures telles que l’examen de l’adresse de l’expéditeur afin d’identifier des erreurs);
- la familiarité (familiarité avec l’expéditeur ou l’objet des courriels reçus);
- les attentes (les communications attendues ou considérées comme routinières étaient moins susceptibles d’éveiller des soupçons), et;
- le contexte de travail (en particulier, l’impact d’être occupé).
- Perceptions du risque d’hameçonnage : Pour ce thème, les auteurs ont analysé les facteurs ayant une incidence sur les perceptions des employés concernant l’hameçonnage, tels que :
- l’exposition à des courriels externes (la réception d’un courriel externe entraînerait des soupçons)
- des boîtes de réception centralisées (l’utilisation d’une boîte de réception centralisée a été perçue comme une exposition croissante à des courriels d’hameçonnage potentiels), et;
- la prise de conscience des risques.
- Comment la susceptibilité est-elle gérée : Pour ce thème, les auteurs ont analysé les mécanismes d’assistance et d’aides utilisés par les employés pour gérer les risques liés au harponnage :
- les avertissements et les bannières (la mise en place d’alertes de sécurité a été envisagée pour accroître la sensibilisation à certaines menaces);
- la dénonciation (la facilité à signaler des courriels d’hameçonnage potentiels);
- la vérification par les pairs (le rôle du soutien des pairs dans la vérification des courriels), et;
- l’évitement (éviter de se livrer à des activités pouvant augmenter le risque d’être victime).
- Connaissances et formation : Pour ce thème, les auteurs ont mis en évidence un certain nombre de facteurs concernant le degré de connaissance des employés sur le harponnage et l’hameçonnage en général, tels que :
- la compréhension technique (incertitude quant à la nature du harponnage);
- la compréhension du centre de sécurité (incertitude relative aux systèmes de sécurité techniques);
- la surcharge d’information, et;
- les perceptions de la formation (le contenu de la formation n’est pas suffisamment traité pour pouvoir être rappelé facilement au besoin).
Cet article met en évidence la nature complexe de la vulnérabilité à l’hameçonnage sur le lieu de travail. Il est d’abord nécessaire de comprendre les causes sous-jacentes et les mécanismes à l’origine du comportement réactionnel. Selon les auteurs, l’approche universelle serait probablement insuffisante et devrait être réévaluée.