Un nombre important d’employés sont toujours victimes d’escroqueries par hameçonnage, selon les résultats d’un test mondial réalisé par une entreprise québécoise.
Sept pour cent de tous les utilisateurs qui ont participé au tournoi Gone Phishing 2022 organisé par Terranova Security de Laval ont cliqué sur le lien dans le courriel d’hameçonnage. Trois pour cent des utilisateurs – 44 pour cent de ceux qui ont cliqué – n’ont pas reconnu les signes avant-coureurs sur la page Web de la simulation et ont saisi leurs informations d’identification sur le site malveillant.
« Pour mettre ces chiffres en perspective », a déclaré Theo Zafirakos, responsable de la sécurité de l’information (RSSI) de l’entreprise, « si une entreprise de 10 000 employés avait été ciblée par une escroquerie par hameçonnage comme celle décrite dans la simulation, 700 employés auraient cliqué sur le lien d’hameçonnage et plus de 300 de ceux-ci auraient saisi leur mot de passe, qui pourrait être utilisé pour compromettre des systèmes et des informations sensibles. Compte tenu de notre dépendance à l’égard des systèmes et des données en ligne pour effectuer de nombreuses transactions et services commerciaux, cette réalité est préoccupante ».
Terranova Security fait partie de Fortra LLC de Minneapolis, aux États-Unis. La simulation, qui a été réalisée en octobre, a été coparrainée par Microsoft. Le test annuel, qui a un format différent chaque année, a vu plus de 250 organisations dans plusieurs pays accepter que leurs employés envoient des courriels d’hameçonnage. Au total, 1,2 million de messages ont été envoyés dans 21 langues.
Le rapport, avec les résultats complets du test, est disponible ici. L’inscription est obligatoire.
Bien que la simulation du tournoi Gone Phishing 2022 ait été jugée plus facile que les années précédentes, Terranova a déclaré dans un communiqué de presse que le taux de clics et le taux de soumission des formulaires Web devraient toujours être considérés comme élevés en conséquence.
Le taux d’échec de 3 % constituait une amélioration significative par rapport aux résultats de 2021 et 2020, où 14,4 % et 13,4 % des utilisateurs, respectivement, avaient effectué une action qui aurait compromis des informations sensibles dans la simulation.
« Ces résultats soulignent pourquoi il est essentiel de créer un programme de formation de sensibilisation à la sécurité engageant qui s’appuie sur des exercices pratiques tels que des simulations d’hameçonnage », indique le rapport. « L’infrastructure technique comme les pare-feu, la sécurité des terminaux et même les boutons de rapport d’hameçonnage dans un client de messagerie d’entreprise ne peuvent garantir la sécurité des informations. »
Microsoft a fourni les modèles de courriel et de page Web de cette année, conçus pour imiter un scénario réel que de nombreux employés vivent : une arnaque à la carte-cadeau. Le scénario, sélectionné par l’équipe de direction de Terranova Security, a mesuré plusieurs comportements d’utilisateurs, tels que cliquer sur un lien dans le corps d’un courriel d’hameçonnage et saisir des informations d’identification dans un formulaire sur une page Web d’hameçonnage.
Si les utilisateurs cliquaient sur le lien dans le courriel de la simulation d’hameçonnage, ils étaient redirigés vers une page de destination qui les invitait à saisir des informations d’identification qui, si la simulation avait été une attaque réelle, auraient été compromises. Les utilisateurs qui se rendaient à cette deuxième étape ont été amenés à une page de commentaires sur la simulation d’hameçonnage mettant en évidence les signes avant-coureurs qu’ils ont manqués et les meilleures pratiques qu’ils doivent suivre.
Adaptation et traduction française par Renaud Larue-Langlois.
