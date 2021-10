Les attaques d’hameçonnage sont devenues une réalité récurrente pour les entreprises de toute taille et sont de plus en plus difficiles à détecter.

De nombreuses organisations de renom ont été victimes de cette méthode de cyberattaque et en ont subi les conséquences sur le plan public. Il est important d’être conscient de cette possibilité, surtout en ce mois de sensibilisation à la cybersécurité.

Lors d’une récente attaque d’hameçonnage, un employé a reçu un courriel contenant un lien vers un site presque identique à celui de son entreprise. L’unique différence était que le nom de domaine se terminait par « org » au lieu de « com ». De plus, le lien dirigeait l’employé vers une page similaire à celle de l’entreprise et demandait un nom d’utilisateur et un mot de passe en échange d’un document téléchargeable.

Dans les jours suivants, la boîte de réception de l’employé a été inondée de messages d’expéditeurs inconnus demandant de cesser de leur envoyer des courriels. Il s’est avéré que son compte avait été piraté afin d’envoyer d’autres messages d’hameçonnage à d’autres cibles.

Les employés, un facteur de risque

La formation servant à détecter l’hameçonnage et la sensibilisation à la sécurité peuvent contribuer à réduire le plus grand facteur de risque des entreprises en matière de cybersécurité : leurs employés. Les simulations d’attaques d’hameçonnage peuvent donner aux entreprises et à leurs employés les connaissances et la pratique nécessaires pour détecter d’autres tentatives de ce genre.

Les simulations d’attaques d’hameçonnage utilisent des menaces spécifiques pour aider les employés à repérer et à éviter les attaques de ce type plus facilement, et ce, dans un environnement sécuritaire. Les organisations, quant à elles, acquièrent une meilleure compréhension quant aux connaissances de leur personnel et la façon dont elles peuvent optimiser le matériel d’apprentissage des campagnes futures, pour ultimement renforcer la protection des données à long terme.

Une stratégie essentielle

Il y a trois éléments essentiels pour assurer le succès d’une telle formation, en commençant par l’adhésion des dirigeants au sein de l’entreprise. Cela assure que les acteurs appropriés savent comment traiter le signalement d’une attaque par hameçonnage. La réaction des employés doit toujours être de communiquer avec leur service informatique ou leur supérieur s’ils soupçonnent une attaque.

L’élaboration d’une stratégie de simulation d’hameçonnage est la prochaine étape essentielle de la formation d’une entreprise. Ce plan permettra d’orienter les décisions relatives à la programmation des simulations afin que les employés demeurent vigilants en tout temps, tout en générant des statistiques et des rapports authentiques.

Cibler certains départements avec un courriel d’hameçonnage simulé, plutôt que l’ensemble de l’entreprise, contribue également à atténuer les soupçons. En pensant comme un cybercriminel et en utilisant des lignes d’objet de courriel qui attirent l’attention des destinataires, on augmente les chances d’inciter les employés à cliquer sur un lien.

L’utilisation efficace des données générées par ces simulations d’attaques d’hameçonnage est le troisième élément essentiel, car le suivi des taux d’ouverture des courriels, des téléchargements de pièces jointes et de la divulgation d’informations permettra de déterminer comment les entreprises peuvent s’améliorer à l’avenir. Ces données aideront les entreprises à affiner leur stratégie à long terme.

Les simulations d’attaques d’hameçonnage ajoutent de la valeur aux initiatives de sensibilisation à la sécurité des entreprises, d’autant plus que l’hameçonnage est l’un des défis les plus considérables auxquels elles sont confrontées. Les entreprises et les employés seront ainsi en mesure de repérer rapidement les courriels malveillants et de réagir adéquatement en suivant les meilleures pratiques.

Photo courtoisie

Lise Lapointe, PDG chez Terranova Security, Leader mondial de la sensibilisation à la cybersécurité