Fini la fierté et les préjugés : tout le monde est susceptible d'être victime de phishing
Se faire pirater n'arrive qu'aux personnes malavisées ou peu qualifiées ? Arnout Van de Meulebroucke, spécialiste de la cybersécurité, parle d'expérience lorsqu'il affirme : "Cela vous arrivera".
"Ça ne m'arrivera jamais." "Je connais bien les ordinateurs, je ne tomberai jamais dans le panneau." "Le phishing ? Seulement dangereux pour les personnes qui n'ont pas une éducation ou des connaissances suffisantes." Mais le fait est que toute personne disposant d'une connexion internet manque de cette sensibilisation de base à la sécurité numérique.
Cela relève à la fois de l'arrogance et de l'orgueil : les gens aiment à se croire plus intelligents que les autres, à penser qu'ils ont une vision particulière de certaines choses que les autres n'ont pas. Surtout lorsqu'ils se comparent à des personnes moins diplômées ou exerçant des emplois moins valorisés dans la hiérarchie sociale.
Tout le monde est vulnérable
Chez Phished, nous avons construit une plateforme qui propose une formation à l'anti-hameçonnage. En essayant d’hameçonner plus de 55 000 utilisateurs par jour, nous expérimentons quotidiennement les dangers de l'orgueil et des préjugés. Quel que soit le secteur dans lequel vous travaillez, quel que soit le pays dans lequel vous vivez, que vous soyez un cadre administratif ou le PDG de votre entreprise, ... : vous êtes vulnérable au phishing.
Lorsque nous lançons nos simulations, environ 20 % de tous les destinataires seront trompés et cliqueront sur nos liens et/ou donneront leurs informations d'identification, et ce uniquement lorsque nous utilisons des modèles de simulation standard. Lorsque nous personnalisons nos efforts, ce pourcentage grimpe en flèche. Notre conclusion est toujours la même : il n'y a pas de différence perceptible parmi les profils qui cliquent. RH, comptabilité, marketing, ... En matière de phishing, tous les hommes (et toutes les femmes) sont vraiment égaux.
Il y a cependant une petite différence : les employés de l'informatique sont souvent plus rancuniers que les autres lorsqu'ils sont hameçonnés. Ils y voient une attaque contre leur expertise, ils se sentent bernés et ridiculisés.
Les mentalités changent, mais lentement, même si cela se fait trop lentement. Certaines entreprises informatiques donnent d'excellents exemples, mais d'autres ne semblent pas comprendre. Une étude récente montre que seul un tiers de la main-d'œuvre britannique a reçu une formation officielle en matière de cybersécurité au cours des douze derniers mois.
C'est une fierté qui rend les entreprises encore plus vulnérables au phishing, aux ransomwares et à d'autres types de menaces numériques, alors qu'il ne devrait pas en être ainsi. Le plus souvent, les entreprises qui ont été piratées tentent de dissimuler leurs erreurs, au lieu de communiquer leurs enseignements. Elles préfèrent éviter l'humiliation plutôt que d'apporter de nouvelles connaissances à la communauté, ce qui permettrait peut-être de prévenir des débâcles similaires dans d'autres organisations.
Il est grand temps d'en finir avec notre faux sentiment de sécurité, notre arrogance et notre orgueil. Si nous réalisons et reconnaissons que tout le monde est une cible, que tout le monde peut être victime de campagnes criminelles, nous pourrons enfin commencer à nous concentrer sur la lutte contre les tactiques malveillantes.
On en trouve des preuves partout dans le monde : le spécialiste français de l'externalisation informatique Sopra Steria, qui dispose d'une division de cybersécurité, a été victime du ransomware Ryuk en octobre ; le fabricant taïwanais d'ordinateurs Compal a succombé au ransomware DoppelPaymer il y a trois semaines à peine. Ce ne sont là que deux exemples récents d'entreprises informatiques attaquées. Toutes deux ont communiqué sur leur situation et divulgué des enseignements précieux.
Cela montre que les attitudes changent lentement, même si cela ne se fait que trop progressivement. Certaines entreprises informatiques donnent d'excellents exemples, mais d'autres ne semblent pas comprendre. Une étude récente montre que seul un tiers de la main-d'œuvre britannique a reçu une formation officielle en matière de cybersécurité au cours des douze derniers mois.
L'expérience nous enseigne que, tout comme la pandémie du COVID-19 qui fait rage, il est impossible d'immuniser contre les menaces numériques. Les effets d'une formation approfondie à la cyber sécurité commenceront à s'estomper après le premier mois. Au bout de trois mois environ, ils l'auront en grande partie oubliée. Cela signifie que même une formation par an est loin d'être suffisante.
En matière de cyber sécurité, l'immunité de groupe n'existe pas. Une formation anti-hameçonnage à effet permanent est un vœu pieux. Pour que l'éducation numérique soit efficace, elle doit être répétée tous les mois ; les gens doivent faire l'expérience des menaces si nous voulons éradiquer notre faux sentiment de sécurité et commencer à faire la différence.
Les personnes sont et seront toujours le maillon faible de tout écosystème de sécurité et il est grand temps de les traiter comme le risque qu'elles représentent, parce que cela vous arrivera. Vous nous laisserez entrer et vous en tirerez des leçons. Le phishing peut arriver à tout le monde, c'est pourquoi tout le monde doit être formé, de manière cohérente et répétée.
L'orgueil et les préjugés coûtent cher à nos entreprises, à notre économie et à nos concitoyens. Il est temps de changer d'avis.
Arnout Van de Meulebroucke,
CEO Phished, expert en anti-hameçonnage