Une nouvelle étude de l’UE prouve que les employés sont la meilleure première ligne de défense d’une organisation

Written By Guest User

Une étude récente de l’UE appuie la position de Beauceron Security selon laquelle les employés sont la meilleure ligne de défense d’une organisation. Continuez à lire pour connaître les détails de l’étude et apprendre comment les organisations peuvent bénéficier de l’envoi de simulations d’hameçonnage à leurs employés.

FONDEMENTS DE L’ÉTUDE

En décembre 2021, des chercheurs de l’EPF Zurich ont publié les résultats d’une étude menée en collaboration avec une organisation anonyme où ils ont testé l’hameçonnage organisationnel sur une période de 15 mois, de juillet 2019 à octobre 2020. Au total, 14 733 employés de l’organisation anonyme ont participé à l’étude dans 28 groupes organisationnels et 3 827 équipes. Il s’agit de la première étude de cette ampleur et de cette durée à propos de l’hameçonnage.

Aux fins de l’étude, les données sur les participants ont été analysées et classées selon l’âge, le sexe et l’utilisation de l’ordinateur en fonction de leur rôle au sein de l’organisation. Les participants ont été divisés en 12 « groupes d’utilisateurs ». De juillet 2019 à octobre 2020, l’organisation a envoyé 8 courriels d’hameçonnage simulés différents à chaque participant. Ils ont reçu les 6 premiers courriels dans un ordre et à intervalles aléatoires au cours de la première année de l’étude, et les 2 derniers courriels au cours des 3 derniers mois. Sur ce nombre, 5 courriels contenaient un lien vers un site Web d’hameçonnage, tandis que 3 contenaient un fichier joint. Ces courriels ne s’adressaient pas à des employés ou à des rôles particuliers dans l’entreprise, mais étaient basés sur de véritables attaques d’hameçonnage ciblant l’ensemble de l’entreprise.

L’étude a utilisé la campagne existante de sensibilisation à l’hameçonnage que l’organisation utilisait avec ses employés avant l’expérience. Les chercheurs ont demandé à l’organisation d’envoyer 2 types d’avertissements sur les simulations d’hameçonnage : de courts avertissements qui étaient « visuellement identiques aux avertissements Outlook standard déjà en place » et des avertissements plus longs et détaillés qui présentaient des raisons pour lesquelles un courriel peut être considéré comme suspect. Les participants ont ensuite été divisés en trois groupes : ceux qui n’ont reçu aucun avertissement pour les courriels d’hameçonnage simulés, ceux qui ont reçu l’avertissement court et standard, et ceux qui ont reçu l’avertissement plus long et détaillé modifié.

Les participants qui tombaient dans le panneau d’une simulation d’hameçonnage étaient redirigés vers une page Web de formation qui expliquait ce qui venait de se passer, les éléments à rechercher à l’avenir pour identifier une tentative d’hameçonnage, une vidéo didactique ainsi que des questionnaires et du matériel d’apprentissage supplémentaire. La formation contextuelle ou de rattrapage pouvait être suivie sur une base volontaire et les participants qui étaient redirigés vers la page Web de formation pouvaient faire le choix de ne pas suivre celle-ci. 

L’étude était fondée sur les 4 questions suivantes :

  1. Quels sont les employés les plus vulnérables à l’hameçonnage? 

  2. Combien d’employés finiront par tomber dans le piège d’un courriel d’hameçonnage en raison d’une exposition continue?

  3. Comment les organisations peuvent-elles aider les employés dans la prévention de l’hameçonnage en utilisant des outils populaires tels que la formation et les avertissements d’hameçonnage intégrés aux courriels suspects?

  4. Les employés peuvent-ils aider collectivement l’organisation dans la prévention de l’hameçonnage? 

RÉSULTATS DE L’ÉTUDE

L’étude a révélé que les participants ont cliqué sur 6 680 des 117 864 courriels d’hameçonnage simulés. Un peu plus de 32 % des participants ont cliqué sur au moins 1 courriel d’hameçonnage, et 25,4 % d’entre eux ont effectué une action dangereuse en conséquence. Les chercheurs ont également constaté que les plus jeunes employés, ceux âgés de 18 à 19 ans, cliquaient sur plus de tentatives d’hameçonnage et effectuaient des actions plus dangereuses que tout autre groupe d’âge. L’étude a révélé que le groupe d’âge le plus performant était celui des personnes âgées de 20 à 29 ans et de 60 ans et plus.

4 260 participants ont signalé au moins un courriel d’hameçonnage au cours de l’étude. Il est encourageant de constater que le bouton pour signaler une tentative d’hameçonnage soupçonnée a également été utilisé par des employés de l’entreprise qui ne participaient pas à l’étude et qui ont profité de l’occasion pour signaler des courriels d’hameçonnage soupçonnés, même s’ils n’étaient pas tenus de le faire.

Des avertissements courts et détaillés ont grandement aidé les participants à identifier les simulations d’hameçonnage. Lors de la comparaison des données, le groupe qui n’a reçu aucun avertissement a cliqué 3 964 fois sur ces courriels, contre 1 427 pour ceux qui avaient reçu l’avertissement court et 1 289 pour l’avertissement détaillé. Comme les données concernant les individus qui ont reçu des avertissements courts et ceux qui en ont reçu des détaillées ne montrent aucune différence significative, les chercheurs ont conclu qu’un avertissement détaillé ne dissuaderait pas de manière importante un utilisateur de ne pas cliquer sur une tentative d’hameçonnage.

Il a également été constaté que la formation contextuelle volontaire (de rattrapage) n’aide pas les utilisateurs à identifier les tentatives d’hameçonnage, car le taux de clics et le taux d’action dangereuse étaient plus élevés pour les participants qui ont été redirigés vers la page Web de formation de rattrapage. D’autres recherches devraient être menées pour déterminer la cause de ce résultat, mais la nature volontaire de la formation peut avoir découragé les utilisateurs de terminer la formation, ainsi que la nature non spécifique de la page de formation par rapport à la tentative d’hameçonnage spécifique, car ces dernières avaient été attribuées au hasard aux participants.

Le volume élevé et constant de tentatives d’hameçonnage signalées n’a pas ralenti au fur et à mesure que l’étude progressait et a en fait augmenté au cours des derniers mois de l’étude lorsque les deux courriels d’hameçonnage simulés finaux ont été envoyés en succession rapprochée. L’étude conclut qu’étant donné la facilité de signalement des tentatives d’hameçonnage grâce à un simple clic, les participants étaient motivés à signaler ces tentatives et n’ont pas eu de « fatigue du signalement », 90 % des participants ayant déclaré 6 simulations d’hameçonnage ou moins au cours de l’étude.

L’étude a également révélé que les employés sont la première et la meilleure ligne de défense d’une organisation contre les cyberattaques, ce qui soutient notre position sur la question. Dans les 5 minutes suivant le lancement d’une campagne d’hameçonnage, l’étude a révélé qu’en moyenne 10 % des participants ont déclaré la tentative d’hameçonnage, et que 30 à 40 % des participants l’ont signalé en une demi-heure.

 

Pour lire l’étude complète, cliquez ici.

Vous souhaitez savoir comment Beauceron Security peut aider votre main-d’œuvre à être la meilleure ligne de défense contre les cyberattaques? Cliquez ici pour lire notre livre blanc sur la formation anti-hameçonnage.

Avez-vous trouvé ce billet de blogue utile? Assurez-vous de le partager avec vos équipes et vos collègues pour favoriser une culture de cybersécurité positive et bien informée.

Guest User
Previous

5 choses que vous pouvez faire pour favoriser le succès continu de votre programme de sensibilisation à la cybersécurité
Next

Les rançongiciels - quelques faits élémentaires