À ce stade, presque tout le monde que vous connaissez a déjà cliqué sur un mauvais lien ou répondu à un SMS suspect à un moment de sa vie, même s’il n’est pas allé jusqu’à se faire piéger en saisissant son mot de passe ou en téléchargeant un rançongiciel. Comment mieux comprendre pourquoi le hameçonnage est un crime si efficace ? Pourquoi certaines personnes suivent-elles jusqu’au bout le faux « tunnel de vente » de l’escroc et remettent-elles leurs joyaux numériques ? Comment pouvons-nous aider les gens à refuser l’appât ?

Le tournoi annuel Gone Phishing Tournament (GPT) a été créé par le service Terranova Security de Fortra et Microsoft pour répondre à ces questions. Le tournoi de l’an dernier, organisé en octobre 2023, a battu des records et révélé quelques vérités difficiles sur le hameçonnage dans les années 2020.
 

Qu’est-ce que le Gone Phishing Tournament ?

GPT est un événement annuel gratuit de formation par simulation de hameçonnage conçu pour aider les organisations et les responsables de la sécurité à mieux comprendre leurs zones à haut risque. En fournissant des données de référence sur le hameçonnage issues des résultats de l’événement, les organisations peuvent apprendre leurs vulnérabilités, comparer leurs performances et définir des objectifs réalistes de changement comportemental.

GPT se concentre sur une seule menace de hameçonnage réaliste. La simulation de 2023 visait les employés avec une fausse notification d’expiration de mot de passe — une tactique cybernétique de plus en plus courante. Le courriel de hameçonnage permettait aux destinataires de conserver leurs mots de passe existants, contrairement aux meilleures pratiques en cybersécurité, en tirant parti de notre tendance à éviter la contrainte de réinitialiser nos mots de passe.

Si le destinataire cliquait sur le lien du mot de passe, il était redirigé vers une page de destination pour demander ses identifiants. Si ses identifiants étaient soumis, il était informé qu’il participait au Gone Phishing Tournament et qu’il aurait été hameçonné si cela n’avait pas été une simulation.

Près de 300 organisations ont participé à l’événement 2023, ce qui en fait l’un des plus grands événements de simulation de hameçonnage de ce type. Plus de 1,37 million de personnes ont reçu le courriel de hameçonnage, et ces messages ont été envoyés en 31 langues.

Résultats et révélations

Le récent GPT a révélé une tendance préoccupante : malgré une sensibilisation accrue, les organisations restent vulnérables aux attaques de hameçonnage. Un peu plus de 10 % des employés ont cliqué sur le lien de hameçonnage, soit une légère hausse par rapport à 2022. 

Ce qui était encore plus alarmant, c’était le rapport élevé entre les cliqueurs de liens et les personnes ayant soumis leur mot de passe. Parmi les personnes qui ont cliqué sur le lien de hameçonnage, 6 sur 10 ont divulgué leurs identifiants. 

Bien que les résultats montrent pourquoi le hameçonnage reste un problème si persistant, nous pouvons tous contribuer à nous aider mutuellement à dire non au hameçonnage.

Ce qu’il faut retenir pour une sécurité centrée sur l’humain

Les résultats du GPT 2023 soulignent les limites des seules protections techniques. Bien qu’indispensables, les pare-feu et les mesures de sécurité des courriels ne peuvent pas garantir la cybersécurité, en particulier au niveau de l’entreprise. Nous devons développer les connaissances et les réflexes nécessaires pour détecter et signaler systématiquement les menaces de hameçonnage. Voici quelques enseignements que nous avons tirés de cette expérience. 

1. Nous avons tous de mauvais jours : Même les personnes les plus sensibilisées à la sécurité peuvent manquer des signaux d’alerte de hameçonnage si elles parcourent les messages trop rapidement. Le message est clair — prenez le temps de lire et de réagir de manière appropriée à chaque courriel entrant.

2. Choisissez une formation dynamique en sécurité : Les plateformes de sensibilisation à la sécurité d’aujourd’hui doivent mettre à jour en continu le contenu et publier de nouveaux modules reflétant l’évolution des tendances de la cybercriminalité.

3. Les simulations peuvent être stimulantes : Une simulation de base est un excellent moyen de comprendre le niveau de connaissances de votre organisation concernant les menaces de hameçonnage.

4. La communication est essentielle : Utilisez les outils de communication pour promouvoir le programme de formation, en soulignant son importance pour la protection des informations sensibles.

5. La ludification est votre alliée : Pensez à utiliser des techniques de ludification pour maintenir l’engagement des participants dans les initiatives de formation, afin de rendre l’apprentissage plus interactif et agréable.

Les résultats du GPT 2023 montrent que la cybersécurité est une responsabilité partagée. Il n’y a aucune raison de désespérer, car nous pouvons travailler ensemble pour rendre Internet plus sûr. Collectivement, nous pouvons bâtir des défenses résilientes contre les attaques de hameçonnage et préparer les gens à l’ingénierie sociale. Téléchargez une copie du rapport ici et venez à notre webinaire avec Fortra pour en savoir plus !