Le Gone Phishing Tournament de Terranova Security n’est pas un tournoi classique où l’on gagne des prix, mais plutôt un test grandeur nature pour évaluer la propension des utilisateurs à cliquer sur des liens frauduleux. Organisée par Fortra, le spécialiste de la formation et de la sensibilisation à la cybersécurité, la dernière édition du tournoi a eu lieu en octobre dernier en collaboration avec Microsoft. La campagne a ciblé un échantillon de 1,2 million d’utilisateurs dans le monde. Gratuite et ouverte à tous, la campagne permet de « mener un premier audit afin de déterminer les besoins de formation, de simulation et les risques liés aux premiers “pare-feux” de l’entreprise : ses collaborateurs ».
Le programme consiste en une série de simulations d’attaques par hameçonnage conçu pour tester les collaborateurs et les éduquer. Lors de l’événement, l’entreprise crée un environnement d’hameçonnage simulé dans lequel les employés reçoivent de faux courriels et sont testés sur leur capacité à les identifier et à y adapter leur réponse. Le programme permet aux organisations d’avoir une compréhension globale de leur posture de sécurité et de prendre les mesures nécessaires pour améliorer leurs défenses contre les attaques par hameçonnage. Ce type de programme est un outil de valeur pour les organisations qui cherchent à améliorer leurs programmes de sensibilisation et de formation à la cybersécurité.
Un scénario alléchant
Le scénario de cette année mettait en œuvre une arnaque à la carte-cadeau, très souvent offerte par l’entreprise aux collaborateurs en fin d’année. Le courriel d’hameçonnage reproduisait les codes graphiques de grandes enseignes. Un modèle qui a été choisi pour sa fréquente utilisation par les attaquants, et comme illustration du premier levier employé par les cyberattaquants : l’ingénierie sociale.À la lecture des résultats, il s’avère que 7 % des personnes ciblées ont cliqué sur le lien contenu dans le courriel, séduits par l’idée de gagner une carte-cadeau. Pire encore, 3 % des cibles ont partagé leurs informations personnelles en remplissant le formulaire.
Au total, si l’on additionne ceux qui ont cliqué et ceux qui ont rempli le formulaire, pas moins de 36 000 personnes, soit 44 % des cibles, ont mis en péril leur entreprise. Ce qui, selon le rapport, « laisse entrevoir un besoin toujours plus important d’acculturer les collaborateurs aux risques réels et quotidiens auxquels ils sont exposés. L’arnaque à la carte-cadeau est un exemple concret et réaliste de menaces de plus en plus fréquentes ».
Les TPE-PME s’en sortent mieux
Pour mieux mettre en perspective ces échelles, si une entreprise de 10 000 employés avait été la cible d’une attaque d’hameçonnage semblable à celle présentée dans le cadre de la simulation, 700 personnes auraient cliqué sur le lien du courriel, et 308 d’entre elles auraient compromis des informations sensibles en les partageant dans le formulaire.Si l’on détaille ces résultats par taille et secteur d’activité, a contrario des idées reçues, ce sont les TPE et PME (0-499 personnes) qui ont été les plus alertes sur les risques, avec un ratio de clics compris entre 3,6 % et 4,9 %. À l’inverse, les grands groupes, davantage équipés sur le plan technologique et ayant de sérieux dispositifs de sécurité de l’information enregistrent des taux de clics bien plus élevés, compris entre 6,3 % et 6,9 % pour le segment 3000 – 10 000 employés. « Un chiffre qui prouve qu’outre les moyens techniques et humains employés pour se protéger des cyberattaques, il est indispensable de penser la cybersécurité comme une composante forte de la culture de l’entreprise, à ancrer et développer chaque jour », conseillent les rédacteurs du rapport.