DSI NumériquePartage d'expériencesCombattre efficacement le phishing grâce à la sensibilisation et la mise en...

Combattre efficacement le phishing grâce à la sensibilisation et la mise en situation

Le phishing ne cesse de créer des  incidents de toutes sortes pour les professionnels : vol de données ou  d’argent, blocage des systèmes, perte de réputation, usurpation d’identité… Dès lors, les entreprises se doivent de prendre des mesures efficaces pour se protéger de ce fléau et sensibiliser leurs équipes aux bonnes pratiques à adopter. C’est dans ce contexte que différents dispositifs, par exemple le test au phishing, limitent l’exposition aux risques des utilisateurs. Mais qu’est-ce que le test phishing et est-il réellement utile ?

Il s’agit d’une question assez récurrente, à laquelle les réponses apportées ne sont pas forcément satisfaisantes. Certains disent que cela ne sert à rien et que ces tests ne sont pas représentatifs de la réalité, arguant que, dans l’immense majorité des cas, les e-mails de phishing réels sont bloqués par les outils de sécurisation des messageries. D’autres considèrent en revanche qu’il s’agit de la meilleure façon de sensibiliser collaborateurs et dirigeants.

Sans chercher à détailler ces différentes positions et les arguments qui les soutiennent ou les infirment, il est utile d’apporter ici un éclairage sur l’intérêt d’avoir recours à déployer ce type de dispositifs. En effet, le premier but recherché par les cybercriminels dans la composition de leurs e-mails de phishing est de provoquer un stress ou une émotion chez ceux qui le reçoivent.

On sait que le stress provoque une chute immédiate et importante des capacités cognitives. La personne ainsi placée en situation de stress ne peut donc plus réfléchir correctement et analyser sereinement ce qui lui est demandé dans l’e-mail. De cette façon, elle tombe plus facilement dans le piège qui lui est tendu.

En revanche, si elle attend une trentaine de secondes avant de faire quoi que ce soit, ses facultés cognitives se rétablissent, le stress généré commençant à se dissiper. Elle peut ainsi prendre un recul nécessaire sur la légitimité et la crédibilité du message reçu, et pourquoi pas, passer en revue les consignes qui lui auront été communiquées lors d’une sensibilisation préalable, ou encore demander son avis à un tiers. Il s’agit en quelque sorte d’appliquer la version numérique du « tourner 7 fois la langue dans sa bouche avant de parler ».

Cette capacité à prendre ce temps de retenue se cultive. Et c’est là tout l’intérêt d’un entrainement préalable au travers de campagnes de tests phishing. En combinant une simulation de phishing avec le rappel de la consigne qui est d’attendre au moins 30 secondes avant toute action, de façon suffisamment répétée, on finit par développer ce réflexe d’attente et de prise de réflexion. De cette façon, on diminue considérablement le risque de se faire piéger.

S’ils ne sont pas une baguette magique, les tests phishing permettent donc de créer de bons réflexes au sein des équipes et de les sensibiliser aux bons réflexes à avoir sans céder à la panique. Ce faisant, l’entreprise est alors plus agile pour lutter efficacement contre le phishing.

 

Par Michel GERARD, fondateur de Conscio Technologies

 

Articles récents

Cela pourrait aussi vous interesser
Innovations

ITS Services et Aerospike unissent leurs forces pour offrir des performances exceptionnelles en gestion de données

ITS Services, leader reconnu dans les domaines des Infrastructures...

Les vulnérabilités applicatives internes à l’origine de 92% des violations

Checkmarx, leader de la sécurité des applications cloud-natives, publie...

SecNumKube : ITS Integra sélectionné par Bpifrance pour son PaaS conforme à SecNumCloud

ITS Integra, opérateur Cloud et Managed Security Services Provider...

Asguard : le choix incontournable pour sécuriser les infrastructures numériques

Sasyx, l’entité dédiée aux solutions technologiques de Cybersécurité et...

Externalisation des opérations IT : levier de croissance pour les PME et les ETI

L’apport du numérique dans les stratégies de croissance des...

Euclyde Datacenters : partenaire clé du GIPC pour l’hébergement

Le sujet de la souveraineté numérique occupe une importance...

Confiance client : l’impact crucial de la sécurité des données

Snom Technology, la marque phare de la communication IP,...

BeOne Group s’appuie sur Enreach for Service Providers pour sa solution télécom

Comment se positionne BeOne Groupe sur son marché et...

Conscio Technologies lance Sensiwave.ai : réponses instantanées à la cybersécurité

Conscio Technologies, spécialiste de la sensibilisation à la cybersécurité, confirme son...

Révolution des processus métier avec l’IA : 5 exemples pratiques à découvrir

Par Jakob Freund, CEO de Camunda L'IA et l'automatisation modifient...

Nouvelles stratégies de Custocy pour une croissance rapide avec son NDR

Custocy, éditeur Toulousain spécialisé en IA appliquée à la...

L’expérience digitale des collaborateurs : Un enjeu crucial pour les entreprises

Dans le quotidien des professionnels, l’utilisation du numérique est...