Paru dans Le Monde, le mercredi 05 mai 2021 par Anne Rodier,
Le courriel est la forme d’hameçonnage la plus commune. Imitant la communication interne à l’entreprise, il a pour but d’obtenir des données confidentielles ou d’installer un logiciel malveillant. Des simulations permettent de tester la réaction des salariés, explique la journaliste du « Monde », Anne Rodier, dans sa chronique.
Carnet de bureau
L’augmentation du télétravail et l’accélération des transformations numériques des entreprises à marche forcée ont rendu les failles de sécurité plus nombreuses : elles seraient à l’origine de 20 % des cyberattaques, relève l’étude annuelle PWC « Global CEO Survey » 2021. Les dirigeants français sont de plus en plus inquiets : 47 % d’entre eux redoutent une menace cyber contre 33 % en 2020. « 91 % des organisations françaises ont été l’objet de cyberattaques en 2020 », précise l’étude du cabinet d’audit.
Si les investissements dans le domaine sont encore à la traîne – seuls 20 % des dirigeants français envisagent de les augmenter de plus de 10 % dans les trois ans –, la sensibilisation des salariés, financièrement plus accessible, a commencé. Des modules de formation se proposent ainsi d’apprendre aux salariés à déceler les attaques et à adopter des pratiques de prudence pour réduire les risques d’attaque via de fausses pages de connexion, sans pour autant les transformer en informaticiens.
« Il s’agit de s’adapter à la journée de travail sans être intrusif, explique Caroline Boxberger, directrice de développement de la plate-forme 2SPark, qui a mis au point un programme de sensibilisation d’une minute par jour pendant deux mois. L’objectif est de créer le bon environnement cognitif et de répéter les messages pour favoriser la mémorisation. »
Chaque jour, le salarié reçoit deux questions contextualisées qui s’appuient sur des éléments réels de son quotidien de travail et sur les retours d’expérience des services d’assistance informatique qui connaissent les pièges tendus aux collaborateurs.
Simulation en entreprise
Le courriel est la forme d’hameçonnage la plus commune. Imitant la communication interne à l’entreprise pour obtenir des données confidentielles ou installer un logiciel malveillant sur l’ordinateur, il incite l’expéditeur à cliquer sur un lien frauduleux. Le « spear phishing »– « hameçonnage ciblé » – ou le « CEO phishing » – « hameçonnage de PDG » – ont même été spécialement conçus pour les entreprises visant non seulement une organisation en particulier, mais directement des services ou des personnes.
La simulation d’hameçonnage est déjà pratiquée en entreprise pour tester la réaction des salariés en leur envoyant un mail du type : « Problèmes concernant votre service » ; « Votre compte est clôturé » ; « Vous avez dépassé votre quota de courriels. Pour augmenter votre limite de quota de courriels à 1,7 Go, cliquez sur le lien ci-dessous : http://www.hamecon.com/corporate. » Les services de la direction informatique interne repèrent ainsi les salariés faciles à piéger et l’ampleur du filet de sécurité à déployer.
[…]