Utilités et risques des simulations de hameçonnage

Une entreprise de services de formation basée à Laval propose aux organisations de tester, de noter et de comparer la vigilance de leur main-d’œuvre en matière de détection de hameçonnage.

Image : Getty

Selon IT World Canada, les entreprises et les organisations peuvent s’inscrire à un « tournoi » se déroulant sur cinq jours organisé par Terranova Sécurité et commandité par Microsoft.

« Le tournoi teste comment les taux de clics des employés, qui ne savent pas qu’ils ont été inscrits, se comparent aux taux de clics des employés d’organisations qui ont des caractéristiques similaires, incluant le stade, la taille et la localisation ».

Après s’être inscrite, une organisation reçoit des instructions sur comment téléverser sa liste d’utilisateurs dans le tournoi,
puis ces derniers commencent à recevoir plusieurs messages.

Le personnel est ensuite « noté, mine de rien » sur son aptitude à repérer des signes typiques et à signaler des messages suspects, ainsi que sur son empressement à cliquer sur ce qui pourrait être un lien malveillant et à entrer des informations personnelles ou de l’organisation dans de faux sites Web.

Les données ainsi recueillies, rassemblées et comparées à leur insu sont par la suite partagées aux organisations participantes dans des comptes rendus sur mesure et dans un rapport global.

Selon le responsable de la sécurité de l’information chez Terranova Sécurité, Theo Zafirakos, dont les propos sont rapportés par IT World, des organisations utilisent les résultats pour évaluer l’efficacité de leur programme de formation et de sensibilisation, ou pour convaincre la haute direction de mettre en œuvre un tel programme.

Risques de contrecoups et de jouer avec les émotions

Une récente simulation de hameçonnage par courriel menée pour le CHU Saint-Justine par un fournisseur externe que le CHU préfère ne pas nommer a cependant échaudé du personnel.

Un courriel reçu en septembre par des membres du personnel du CHU leur proposait de participer à un tirage de billets pour un événement du groupe Imagine Dragons, « en reconnaissance » de leurs « efforts soutenus des derniers mois ».

Les membres du personnel qui ont essayé de participer au tirage ont reçu un message révélant que le tout était une simulation de hameçonnage et qui les invitait « à redoubler de vigilance ».

Dans un contexte où du personnel surchargé de la santé perçoit un manque de reconnaissance de la part de leurs établissements, l’idée a été dénoncée en ligne comme un manque de sensibilité.

Selon des précisions fournies à Direction informatique par une porte-parole du CHU, « le CHU Sainte-Justine doit sensibiliser ses équipes et employés aux enjeux entourant la sécurité de ses systèmes » et « les établissements sont soumis à une obligation du MSSS de sensibiliser en continu les employés au sujet de la cybersécurité et des divers crimes et risques sur le Web ». De plus, « les simulations de hameçonnage sont couramment utilisées par les institutions pour hausser la vigilance des employés ».

Cela dit, « le CHU est toujours à l’écoute de ses employés et prend en compte d’éventuels irritants afin de toujours améliorer ses façons de faire », a-t-elle aussi précisé.

Articles connexes

Lancement du livre de Lise Lapointe, fondatrice de Terranova Security, The Human Fix to Human Risk 

Lise Lapointe, la fondatrice de Terranova Security (qui se nomme aujourd’hui Fortra), dévoilait récemment son nouveau livre The Human Fix to Human Risk : 5 étapes pour promouvoir une culture de sensibilisation à la cybersécurité. 

Une jeune pousse torontoise testera sa solution de distribution de clés à l’épreuve du quantique

Le gouvernement fédéral donne à une jeune pousse de Toronto l'occasion de prouver que sa nouvelle technologie pourrait aider à protéger les communications canadiennes cryptées d'aujourd'hui contre le piratage par des ordinateurs quantiques.

L’hameçonnage demeure le principal moyen pour déjouer les contrôles de sécurité selon IBM

Le IBM Security X-Force Threat Intelligence Index 2023, une analyse des données recueillies à partir des capteurs de réseau et d’enquêtes sur des incidents, est rempli d'un éventail vertigineux de chiffres sur les violations des contrôles de sécurité.

Reddit sur sa violation de données : « L’humain est souvent le maillon le plus faible de la chaîne de sécurité »

Les experts en cybersécurité disent depuis longtemps que les attaquants n'ont besoin d'avoir de la chance qu'une seule fois, alors que les organisations doivent avoir de la chance à chaque fois qu'il y a une attaque.

Utilisez ces authentificateurs à l’épreuve de l’hameçonnage, affirme le NIST

Vous voulez empêcher les pirates d'utiliser l’hameçonnage comme levier pour pénétrer dans votre environnement informatique ? Commencez à utiliser des authentificateurs multifacteurs à l’épreuve de l’hameçonnage, tels que des clés matérielles et des cartes de vérification d'identité.