Si les utilisateurs sont de plus en plus conscients du risque d’attaque par rançongiciel, l’hameçonnage reste un sujet épineux.
En savoir plus :
- 3 questions à poser avant de choisir un fournisseur de solution de sauvegarde SaaS
- Sauvegarde dans le cloud : les 4 options possibles
- Comment archiver et sauvegarder les données dans Google Classroom
- Pourquoi la simple sauvegarde de Microsoft 365 n’est pas une rétention des données
Bien que les technologies anti-hameçonnage actuelles permettent de lutter contre ces attaques, ou tout du moins les limiter, certaines tentatives parviennent néanmoins à passer entre les mailles du filet.
Pourquoi les attaques par hameçonnage sont-elles aussi coriaces ?
Le problème avec l’hameçonnage, c’est qu’il se sert de vos activités quotidiennes pour vous piéger et lancer une attaque. Par exemple, un agent commercial peut recevoir un e-mail avec une pièce jointe intitulée « devis signé » provenant d’un partenaire « supposé ».
Compte tenu qu’il traite ce genre de message quotidiennement, ledit agent ouvrira très probablement la pièce jointe sans y réfléchir. Les utilisateurs sont donc des cibles faciles pour les tentatives d’hameçonnage, notamment à l’heure où les attaquants ne manquent ni d’ingéniosité ni de créativité.
Il est ainsi important de mettre la sécurité au premier plan dans votre organisation. Mais comment organiser des campagnes anti-hameçonnage efficaces ?
Lisez la suite pour découvrir les enseignements efficaces que nous avons tirés de nos précédents épisodes ShiftHappens ainsi que la manière dont nous les avons intégrés à nos campagnes anti-hameçonnage.
1. Plus que de la théorie : l’importance de multiplier les ressources de formation
Jennifer Peabody de HAVI (en anglais) insiste sur le fait que :
« [l’un] des éléments clés, c’était de veiller à disposer de différents canaux pour nos ressources d’apprentissage et de formation. Chacun apprend différemment à son rythme et utilise les ressources d’une manière qui lui est propre lorsqu’il essaye d’apprendre quelque chose de nouveau. Par conséquent, nous tenions vraiment à proposer plusieurs canaux d’apprentissage. »
Les processus d’apprentissage varient d’un utilisateur à l’autre. Pensez à mobiliser différents types de ressources pour vos campagnes anti-hameçonnage.
Microsoft propose des programmes anti-hameçonnage grâce auxquels vous pouvez envoyer de faux e-mails d’hameçonnage à vos utilisateurs afin d’organiser des simulations. Vous pouvez également organiser des webinaires Microsoft Teams mensuels pour informer vos utilisateurs sur les nouvelles tendances en matière d’hameçonnage.
Vous pouvez même créer des jeux interactifs afin de distinguer un e-mail authentique d’une tentative d’hameçonnage ou une véritable adresse mail d’une fausse. Vous pouvez également concevoir une application pour rappeler à vos utilisateurs de réfléchir avant de cliquer.
En misant sur l’aspect ludique, non seulement vous mobiliserez vos utilisateurs, mais vous les aiderez également à retenir les informations plus rapidement et plus efficacement.
2. Gare à l’indigestion : misez sur la simplicité et l’accessibilité
Nous, les équipes informatiques et de sécurité, avons souvent tendance à oublier que nos utilisateurs ne s’y connaissent pas autant que nous en matière de technologie et de sécurité.
Jennifer Peabody ajoute :
« J’ai adopté un style de communication très décontracté. Je n’aime pas parler en termes techniques parce que […] si je ne comprends pas, il y a de forte chances que beaucoup d’autres personnes ne comprennent pas non plus. »
Lorsque vous élaborez les ressources d’apprentissage, assurez-vous que ces ressources sont compréhensibles et parlantes.
Un utilisateur moyen aura sûrement des difficultés à comprendre une infographie trop technique sur l’hameçonnage. Une navigation trop complexe risque d’amener certains utilisateurs à abandonner une formation avant la fin. Une application trop difficile d’accès ne sera pas utilisée.
Outre la facilité d’accès des ressources, une autre stratégie consiste à créer une équipe de champions capables de plaider votre cause auprès d’utilisateurs qui leur ressemblent.
Un responsable des ventes pourra convaincre son équipe d’être plus prudente avec les e-mails. Un directeur marketing pourra créer une infographie permettant de distinguer rapidement un e-mail légitime d’une tentative d’hameçonnage. Votre équipe de sécurité pourra organiser un déjeuner-formation mensuel ciblé par service.
En adoptant les bons outils de communication et les bonnes ressources de formation, vous montrerez à vos utilisateurs que leur prise de conscience est cruciale pour la stratégie de sécurité globale de votre entreprise.
3. Montrez l’exemple : stratégies et promotion
Pour Vickie Robinson de Microsoft Airband (en anglais), le changement n’est possible qu’une fois que vous avez compris que l’équipe informatique ou l’utilisateur ne peuvent pas résoudre le problème seuls :
« Ce qu’il faut vraiment, c’est mettre l’accent sur la stratégie et la promotion. [Il s’agit d’]un problème systémique qui nécessite une solution systémique. Sans stratégies adaptées en place, vous allez imposer des limites à ce qui peut être fait […]. »
En créant un environnement dans lequel vos utilisateurs pourront voir que ce qu’ils ont appris est mis en pratique par toute l’organisation, vous illustrerez la valeur de ces campagnes.
Instaurez des stratégies et des règlements qui encourageront les utilisateurs à adopter des pratiques sécuritaires après leur formation ou même après les campagnes.
Par exemple, dans la dernière partie de votre formation de recyclage sur l’hameçonnage, vous pouvez inviter vos utilisateurs à consulter leurs derniers e-mails et supprimer les adresses suspectes ou examiner les pièces jointes d’e-mail inhabituelles et les transmettre à l’équipe de sécurité.
Il est essentiel de mettre en place une réponse de gestion des incidents en cas d’attaque par hameçonnage avérée. Vous pouvez aider vos utilisateurs à s’habituer au processus en lui consacrant une formation. Fournissez des détails en amont en cas de suspicion d’attaque et indiquez clairement les personnes à contacter.
Les données des utilisateurs doivent être sauvegardées. Une solution de sauvegarde permettant aux utilisateurs finaux de restaurer eux-mêmes leurs données en cas de suppression d’e-mails et de pièces jointes légitimes sera utile tout au long de la campagne.
Vous apprécierez vos campagnes anti-hameçonnage à leur juste valeur le jour où vos utilisateurs mettront en pratique ce qu’ils ont appris.
EduTech : une solution d’apprentissage dynamique et sécurisée
L’apprentissage peut prendre toutes les formes. Alors, quoi de plus puissant qu’une plateforme suffisamment flexible pour offrir un mélange modulable de modules d’apprentissage en fonction de vos demandes ?
Et là, nous parlons toujours de sécurité. Avec EduTech d’AvePoint (en anglais), une solution d’apprentissage moderne pour les établissements d’enseignement et les entreprises, vous pouvez profiter d’un environnement d’apprentissage dynamique sur une plateforme unique à la fois efficace et sécurisée.
Le changement ne se fera pas du jour au lendemain, mais en progressant lentement vers votre objectif, vous vous rapprocherez de l’organisation sécuritaire que vous ambitionnez de devenir et EduTech peut vous y aider.
Produits AvePoint
Vous cherchez à assurer une protection optimale de vos données ? AvePoint vous propose Cloud Backup qui vous offre une grande tranquillité d’esprit en cas de catastrophe et récupère rapidement le contenu perdu ou corrompu à partir de vos sauvegardes.
Abonnez-vous à notre blog pour en savoir plus sur l’hameçonnage et la sécurité des données.
