Votre internaute moyen serait-il plus vigilant contre les escroqueries par hameçonnage s’il était confronté à la possibilité réelle de perdre son emploi après avoir été victime d’un trop grand nombre de ces e-mails ? Récemment, j’ai rencontré quelqu’un lors d’une conférence qui a dit que son employeur avait en fait licencié des employés pour de telles infractions répétées. Comme c’était la première fois que j’entendais parler d’une organisation faisant cela, j’ai demandé à des experts en phishing ce qu’ils en pensaient (alerte spoiler : ils ne sont pas fans de cette approche pédagogique particulière).
Jean LaCour est fondateur et directeur de la technologie de PhishLabs, une entreprise basée à Charleston, en Caroline du Sud, qui aide les entreprises à former et à tester les employés sur la manière de ne pas tomber dans le piège des escroqueries par hameçonnage. Les cours de formation de l’entreprise offrent aux clients un moyen de savoir combien d’employés ouvrent les tests d’e-mails de phishing et combien tombent dans le leurre.
LaCour dit que l’adoption de mesures punitives pour les employés qui tombent à plusieurs reprises dans des tests de phishing est contre-productive.
« Nous avons entendu certains de nos clients du secteur financier qui ont des programmes similaires où il y a des conséquences réelles lorsque les gens échouent aux tests, mais il est assez rare dans tous les types d’entreprises d’avoir une politique aussi extrême », a déclaré LaCour.
« Il y a beaucoup de choses que les organisations peuvent faire qui ne sont pas aussi draconiennes et qui ont toujours l’effet souhaité de renforcer la posture de sécurité », a-t-il déclaré. « Nous avons vu des entreprises exiger une formation en classe lors du premier échec, jusqu’à ce qu’un responsable doive s’asseoir avec vous la deuxième fois, jusqu’à révoquer l’accès au réseau dans certains cas. »
LaCour a déclaré que l’une des erreurs les plus courantes qu’il voit est que les entreprises achètent un outil pour lancer des campagnes de phishing simulées juste pour jouer au « gotcha » avec les employés.
« Cela démotive vraiment les gens et cela ne leur apprend vraiment rien sur la façon d’être plus diligent face aux attaques de phishing », a-t-il déclaré. « Chaque programme de simulation de phishing doit être accompagné d’un programme de formation solide, où vous apprenez aux employés quoi faire lorsqu’ils voient quelque chose de phishy. Sinon, cela ne fait que créer du ressentiment parmi les employés.
Rohyt BelaniPDG de la société de sécurité basée à Leesburg, en Virginie Cofense (Auparavant PhishMe), a déclaré que les campagnes d’éducation anti-hameçonnage qui ont des conséquences fortement négatives pour les employés qui tombent à plusieurs reprises dans des tests d’hameçonnage créent généralement des tensions et de la méfiance entre les employés et l’équipe de sécurité de l’entreprise.
« Cela peut créer un environnement d’animosité pour l’équipe de sécurité, car ils sont soudainement considérés comme travaillant pour les ressources humaines au lieu d’essayer d’améliorer la sécurité », a déclaré Belani. « Menacer les gens se retourne généralement contre eux, et ils finissent par devenir plus provocants et peu coopératifs. »
Cofense fournit un système de signalement de phishing et encourage les clients à demander à leurs employés de signaler les attaques (et les tests) de phishing suspectées, et Belani a déclaré que ces signalements d’employés peuvent souvent contrecarrer de véritables attaques de phishing.
« Donc, ce qui se passe souvent, c’est qu’une personne peut cliquer sur un lien dans un véritable e-mail de phishing, et trois secondes plus tard, elle se rend compte : ‘Oups, je n’aurais pas dû cliquer, laissez-moi le signaler quand même' », a déclaré Belani. « Mais si cette personne savait qu’il y avait un angle punitif à le faire, elle est plus susceptible de ne pas le signaler et de dire: » Vous savez quoi, je ne l’ai pas fait. Où est la preuve que j’ai cliqué sur le lien ? »
LaCour dit que PhishLabs encourage les clients à utiliser le renforcement positif dans leurs campagnes de formation des employés.
« La reconnaissance – où les employés et les départements qui réussissent particulièrement bien sont reconnus – est très courante », a déclaré LaCour. « Nous voyons également des choses comme de petits cadeaux ou d’autres choses que les entreprises utiliseraient généralement pour récompenser les employés, comme des cartes-cadeaux ou de petites primes pour des services ou des personnes spécifiques. »
LaCour a déclaré que ses bureaux en faisaient un jeu.
« Nous le rendons compétitif où nous affichons les scores de chaque département et le département le moins bien noté doit payer le déjeuner pour le reste du département », a-t-il déclaré. « Cela enseigne aux gens qu’il y a des conséquences réelles et que nous devons tous faire preuve de diligence en matière de phishing. »
Et vous, chers lecteurs ? Votre employeur organise-t-il des formations et des tests de sensibilisation au phishing ? Quels incitatifs ou désincitatifs sont liés à ces programmes? Sonnez dans les commentaires ci-dessous.