Protégez votre entreprise contre le phishing et autres cybermenaces avec la combinaison parfaite: formation en sensibilisation à la sécurité et simulations de phishing
Sur la base des résultats récents du tournoi Gone Phishing 2019, découvrez comment les données de taux de clics recueillies démontrent l'importance de mettre en œuvre un programme qui combine un contenu riche et attrayant pour une formation en sensibilisation à la sécurité et des simulations de phishing basées sur des scénarios réels.
5 Conclusions À Retenir Concernant Les Menaces CibléesSymantec
Contenu connexe
Similaire à Protégez votre entreprise contre le phishing et autres cybermenaces avec la combinaison parfaite: formation en sensibilisation à la sécurité et simulations de phishing
5 Conclusions À Retenir Concernant Les Menaces CibléesSymantec
Similaire à Protégez votre entreprise contre le phishing et autres cybermenaces avec la combinaison parfaite: formation en sensibilisation à la sécurité et simulations de phishing (20)
5 Conclusions À Retenir Concernant Les Menaces Ciblées
Protégez votre entreprise contre le phishing et autres cybermenaces avec la combinaison parfaite: formation en sensibilisation à la sécurité et simulations de phishing
Nous vous remercions de nous réserver du temps pour cette démo technique que nous allons dédié à la présentation du Rapport Gone Phishing de Terranova Security suivi d'une démonstration technique de l'intégration des outils pédagogiques de plusieurs niveaux à des simulations d'hameçonnage
Il existe une multitude de rapports et de statistiques démontrant que le Phishing est l’attaque la plus courante, mais aucun ne permettant réellement un benchmarking de ce type de cybermenaces.
Ils se basent sur l’analyse de résultats de simulations utilisant Gabarits différents – degré de complexité variables et des périodes de test variés
un modèle d’hameçonnage Identique inspirés de vraies attaques d’hameçonnage réussies
Le scénario utilisé dans le Gone Phishing Tournament était formulé de façon à convaincre le destinataire de cliquer sur un lien générique qui le presse de fournir ses identifiants.
Nous avons choisi d’évaluer ces deux comportements parce qu’ils utilisent différentes tactiques d’hameçonnage pour profiter de la nature humaine à faire confiance et à agir rapidement sans réviser avec attention les détails du courriel, des liens et des sites Web.
un modèle d’hameçonnage Identique inspirés de vraies attaques d’hameçonnage réussies
Le scénario utilisé dans le Gone Phishing Tournament était formulé de façon à convaincre le destinataire de cliquer sur un lien générique qui le presse de fournir ses identifiants.
Nous avons choisi d’évaluer ces deux comportements parce qu’ils utilisent différentes tactiques d’hameçonnage pour profiter de la nature humaine à faire confiance et à agir rapidement sans réviser avec attention les détails du courriel, des liens et des sites Web.
This is their classification, it may be different than what they reported
Ces résultats soulignent l’importance pour les organisations de mettre en place un programme de formation en sensibilisation à la sécurité et des simulations d’hameçonnage régulières. La formation en sensibilisation à la sécurité n’est pas efficace sans simulations d’hameçonnage et vice versa.
Impact du secteur :L’analyse confirme que chaque secteur vit des défis différents qui impactent leurs taux de clics (d’où l’interet de pouvoir comparer son taux de clic en lien avec son secteur.
4 secteurs se situent au-dessus du taux de clics moyen ou la structuration de la sécurité de l’information est une préoccupation récente
Les autres secteurs ont déja investi sur la sensibilization ( secteurs réglementés)
Ces mêmes secteurs se retrouvent au dessus de la moyenne concernant le partage via le formulaire du nom d’utilisateur et le mot de passe, la moyenne observée étant de 1,8%
Les organisations de tous les secteurs doivent renouveler leurs efforts pour enseigner à leurs employés :
Comment détecter les courriels d’hameçonnage (simulés et réels).
De ne jamais cliquer sur des liens provenant d’expéditeurs inconnus ou suspects.
Comment identifier les sites Web d’hameçonnage.
es résultats du tournoi Gone Phishing ont montré que même si toutes les organisations, quelle que soit leur taille, sont à risque, les petites organisations sont plus susceptibles aux attaques de phishing. Bien que nous ne connaissions pas les caractéristiques uniques de chaque organisation, nous pouvons suggérer que les petites organisations peuvent ne pas avoir de service informatique dédié ou la capacité d'allouer du temps et de l'énergie à la formation de sensibilisation à la sécurité et aux simulations de phishing. Inversement, alors que les grandes organisations peuvent avoir un service informatique dédié et des responsables internes de la sécurité de l'information, elles peuvent manquer de communication et de sensibilisation efficaces sur plusieurs sites, langues et départements. De plus, les grandes organisations comptent souvent sur des organisations plus petites comme fournisseurs, ce qui peut mettre leurs données et leurs systèmes en danger.
Une fois de plus, il est important que les organisations comprennent comment le taux de clics varie en fonction de l’emplacement géographique et de la langue lorsqu’elles comparent leurs taux de clics. Nous savons que les gens sont beaucoup plus susceptibles de faire confiance à un courriel d’hameçonnage et d’y répondre s’il est rédigé dans leur langue maternelle.
Comme l’illustre le graphique 6, les participants nord-américains et sud-américains étaient beaucoup plus nombreux à partager leurs identifiants après avoir cliqué sur le lien que les participants des autres régions.
Pour mieux comprendre pourquoi certaines organisations présentent un taux de clics au-dessus de la moyenne, nous avons analysé les données en tenant compte de la présence :
D’un programme de formation en sensibilisation à la sécurité;
D’un programme de simulations d’hameçonnage;
Des deux; ou
De ni l’un ni l’autre.
Pour mieux comprendre pourquoi certaines organisations peuvent avoir un taux de clics supérieur à la moyenne, nous avons examiné les données en fonction du fait que l'entreprise dispose ou non d'un programme de formation de sensibilisation à la sécurité, utilise ou n'utilise pas de simulations de phishing, ou utilise ou non utilise les deux. Au moment du tournoi Gone Phishing, 25% des organisations ne disposaient que d'un programme de formation à la sensibilisation à la sécurité et 40% des organisations utilisaient à la fois un programme de formation à la sécurité et des programmes de simulation de phishing. 3% des organisations n'avaient qu'un programme de phishing en place et 32% des organisations n'avaient rien en place. Le fait de n'avoir qu'un programme de formation sur la sensibilisation à la sécurité en place permet de réduire les taux de soumission des clics et des informations d'identification par rapport aux organisations qui n'ont rien. Cependant, ces graphiques montrent qu'une approche de formation à la sensibilisation à la sécurité ne suffit pas. Les données du Gone Phishing Tournament renforcent l'importance d'utiliser à la fois des programmes de formation de sensibilisation à la sécurité et des simulations de phishing pour réduire le taux de clics des employés. Les simulations de phishing donnent aux employés un retour immédiat sur leurs actions. Ils apprennent instantanément s'ils ont pris la bonne décision en faisant confiance ou en ne faisant pas confiance à l'e-mail de phishing, au site Web, au formulaire ou à la pièce jointe. Cela permet de renforcer la messagerie de la formation de sensibilisation à la sécurité et donne aux employés des repères mentaux sur lesquels s'appuyer lorsqu'ils sont confrontés à des e-mails et menaces suspectes dans le monde réel