Une simulation de cyberattaque par hameçonnage menée à l’échelle mondiale révèle que près de 70 % des travailleurs risquent de compromettre leurs données d’accès après avoir ouvert un courriel malveillant.
L’entreprise québécoise Terranova Security, spécialisée en sensibilisation à la cybersécurité, a organisé cette simulation dans le cadre de son tournoi Gone Phishing 2020. L’événement virtuel s’est déroulé pendant 11 jours en octobre à travers 98 pays.
Microsoft, coprésentateur de la compétition, a fourni un modèle de courriel et de page Web reproduisant un scénario réaliste auquel les participants, en particulier les travailleurs à distance, peuvent faire face au quotidien.
Le modèle permettait d’évaluer plusieurs comportements liés à l’hameçonnage chez les utilisateurs, comme le fait de cliquer sur un lien dans un courriel suspect et de partager des données en remplissant un formulaire Web.
La même simulation d’hameçonnage, disponible en 12 langues, a été utilisée pour l’ensemble des participants afin d’obtenir des données précises et comparables d’une organisation à l’autre.
Les résultats, publiés dans le Rapport mondial d’analyse comparative sur l’hameçonnage, montrent que près de 20 % des employés sont prompts à cliquer sur les liens d’un courriel d’hameçonnage. Il s’agit d’une augmentation considérable par rapport au 11 % observé lors de la première édition du tournoi Gone Phishing en 2019.
Soixante-sept pour cent de ceux qui ont ouvert les liens ont partagé leurs données d’accès, notamment leurs identifiants et leurs mots de passe.
Les utilisateurs nord-américains ont éprouvé le plus de difficulté avec l’exercice de simulation, avec un taux de clics de 25,5 % et un taux général de partage des données de 18 %. Cela signifie qu’un peu plus de 7 cliqueurs sur 10 ont compromis leurs données d’accès.
Les participants européens présentent les taux de clics et de partage les plus faibles, à 17 % et 11 % respectivement.
Selon Lise Lapointe, auteure et présidente-directrice générale de Terranova Security, ces résultats illustrent le besoin croissant pour des initiatives de de formation basées sur des simulations d’hameçonnage réalistes. « Les organisations doivent prendre les résultats de cette analyse comparative au sérieux et adopter les mesures nécessaires pour s’assurer que chaque utilisateur possède les connaissances qui lui permettront de se protéger contre les cybermenaces les plus récentes et élaborées », a-t-elle déclaré par communiqué.
Pour Theo Zafirakos, directeur de la sécurité de l’information à Terranova Security, les résultats constituent une indication claire que les dirigeants en sécurité doivent effectuer davantage d’éducation au sein de leurs entreprises, surtout lorsqu’on considère que le tournoi a eu lieu pendant le Mois de la sensibilisation à la cybersécurité. « C’est une période de l’année où les occasions d’apprentissage et de communication en lien avec l’hameçonnage ont tendance à être accrues. Les résultats démontrent l’importance de mettre en œuvre ou de raffiner les initiatives de sensibilisation en continu », a-t-il indiqué.
La publication du rapport survient à la fin d’une année tumultueuse pour les entreprises du monde entier. La pandémie de COVID-19 a forcé de nombreuses organisations à adopter rapidement un mode de travail à distance ou hybride. Terranova Security estime que la multiplication des bureaux virtuels a affaibli la portée des mesures de protection des données, ce qui a mis en lumière la difficulté de certains employés à détecter et à éviter les menaces d’hameçonnage.
Terranova security offre des programmes de sensibilisation et d’éducation à la cybersécurité à des organisations du monde entier, avec une approche basée sur la réduction du facteur de risque humain. Ses services comprennent notamment une plateforme de sensibilisation multilingue, des séances de formation et des simulateurs d’attaque intuitifs. L’entreprise, établie à Laval, travaille avec des experts en cybersécurité à travers le monde pour adapter ses outils aux menaces les plus actuelles.
