Désormais, presque tout le monde que vous connaissez a cliqué sur un mauvais lien ou a répondu à un texte suspect à un moment donné de leur vie, même s'ils ne sont pas complètement tombés dans le piège en saisissant leur mot de passe ou en téléchargeant un ransomware. Comment pouvons-nous mieux comprendre pourquoi le phishing est un crime si efficace ? Pourquoi certaines personnes complètent-elles le faux « entonnoir de vente » de l'escroc et livrent-elles leurs joyaux de la couronne numérique ? Comment pouvons-nous aider les gens à rejeter l'appât ?

Le tournoi annuel Gone Phishing (GPT) a été créé par le service de sécurité Terranova de Fortra et Microsoft pour répondre à ces questions. Le tournoi de l'année dernière, mené en octobre 2023, a battu des records et révélé certaines vérités difficiles sur le phishing dans les années 2020.
 

Qu'est-ce que le tournoi Gone Phishing ?

GPT est un événement d'entraînement à la simulation de phishing annuel gratuit conçu pour aider les organisations et les responsables de la sécurité à mieux comprendre leurs zones à haut risque. En fournissant des données de référence sur le phishing issues des conclusions de l'événement, les organisations peuvent en apprendre davantage sur leurs vulnérabilités, comparer les performances et établir des objectifs réalistes pour un changement comportemental.

GPT se concentre sur une menace de phishing réaliste unique. La simulation de 2023 a ciblé les employés avec une fausse notification d'expiration de mot de passe, une tactique cyber de plus en plus courante. Le courriel de phishing permettait aux destinataires de conserver leurs mots de passe existants, contrairement aux meilleures pratiques de cybersécurité, exploitant notre tendance à éviter l'inconvénient de réinitialiser les mots de passe.

Si le destinataire cliquait sur le lien du mot de passe, il était envoyé vers une page de destination pour demander leurs identifiants. Si leurs identifiants étaient soumis, ils étaient informés qu'ils faisaient partie du tournoi Gone Phishing et qu'ils auraient été phishés si cela n'avait pas été une simulation.

Près de 300 organisations ont participé à l'événement de 2023, en faisant l'un des plus grands événements de simulation de phishing de ce type. Plus de 1,37 million de personnes ont reçu le courriel de phishing, et ces messages ont été envoyés en 31 langues.

Résultats et révélations

Le récent GPT a révélé une tendance préoccupante : malgré une sensibilisation accrue, les organisations restent vulnérables aux attaques de phishing. Un peu plus de 10 % des employés ont cliqué sur le lien de phishing, une légère augmentation par rapport à 2022. 

Encore plus alarmant était le grand ratio de cliqueurs de lien par rapport aux soumetteurs de mot de passe. Parmi les personnes qui ont cliqué sur le lien de phishing, 6 sur 10 ont divulgué leurs identifiants. 

Alors que les résultats montrent pourquoi le phishing reste un problème persistant, nous pouvons tous travailler pour nous aider les uns les autres à dire non au phishing.

Enseignements pour une sécurité centrée sur la personne

Les résultats du GPT 2023 soulignent les limites des seules sauvegardes techniques. Bien qu'essentielles, les pare-feu et les mesures de sécurité des courriels ne peuvent pas garantir la cybersécurité, surtout au niveau de l'entreprise. Nous devons développer les connaissances et les réflexes nécessaires pour détecter et signaler systématiquement les menaces de phishing. Il y a quelques enseignements que nous avons appris à travers cette expérience. 

1. Nous avons tous des mauvais jours : Même les individus les plus conscients de la sécurité peuvent manquer des signaux d'alarme de phishing s'ils balayent rapidement les messages. La leçon est claire: prenez le temps de lire et de réagir de manière appropriée à chaque courriel entrant.

2. Choisissez une formation à la sécurité dynamique : Les plateformes de formation à la sensibilisation à la sécurité d'aujourd'hui devraient continuellement mettre à jour le contenu et publier de nouveaux modules reflétant les tendances évolutives de la cybercriminalité.

3. Les simulations peuvent être stimulantes : Une simulation de base est un excellent moyen de comprendre le niveau de connaissance de votre organisation en matière de menaces de phishing.

4. La communication est critique : Utilisez des outils de communication pour promouvoir le programme de formation, en soulignant son importance pour protéger les informations sensibles.

5. La ludification est votre amie :Pensez à employer des techniques de ludification pour maintenir les participants engagés dans les initiatives de formation, rendant l'apprentissage plus interactif et agréable.

Les résultats du GPT 2023 montrent que la cybersécurité est une responsabilité partagée. Il n'y a aucune raison de désespérer car nous pouvons travailler ensemble pour rendre Internet plus sûr. Collectivement, nous pouvons construire des défenses résilientes contre les attaques de phishing et préparer les gens à l'ingénierie sociale. Téléchargez une copie du rapport ici et venez à notre webinaire avec Fortra pour en savoir plus !