Si vous mesurez le taux de signalement des simulations de phishing, c'est très bien. C'est encore mieux si une grande partie des utilisateurs de votre société utilise un module complémentaire pour signaler lorsqu'un message de phishing simulé leur parvient.
Mais dans le monde réel du signalement de phishing, comment ce comportement se traduit-il, lorsque l'email réellement malveillant ou suspect arrive dans la boîte de réception d'un utilisateur et que ce dernier s'interroge sur sa légitimité ?
Pour déterminer l'efficacité des utilisateurs à signaler du vrai phishing et compiler les mesures pour ce troisième volet de notre série de blog, nous avons analysé les données de millions de personnes qui utilisent le bouton de phishing PhishAlarm de Proofpoint pour signaler des messages.
Figure 1. Graphique des menaces Nexus de Proofpoint montrant l'étendue des threat intelligence qui alimentent notre pile de détection.
Nous voulions également comprendre les types d'emails signalés par les utilisateurs. Nous avons donc utilisé le graphique des menaces Nexus de Proofpoint et la pile de détection de Proofpoint Targeted Attack Protection (TAP) pour attribuer automatiquement une tendance. Cette capacité est incluse dans le Proofpoint Security Awareness Training.
Quels sont les types d'emails de phishing signalés ?
Pour recontextualiser les choses, commençons par la classification des types de messages signalés :
- Malveillant : ces emails contiennent des malwares, des phish, des imposteurs ou d'autres menaces.
- Suspicieux : ces emails sont probablement malveillants et il est donc recommandé de les mettre en quarantaine ; toutefois, ils doivent être examinés pour s'assurer qu'aucun email légitime n'est perdu.
- Spam : ces emails sont une nuisance et peuvent contenir du contenu malveillant.
- Emails à diffusion massive : ces messages sont de faible priorité ou de type promotionnel ; ils ne constituent pas une menace.
- Risque faible : l'analyse de ces emails ne révèle aucune trace de contenu malveillant.
- Risque peu probable : ces messages ne présentent aucun contenu malveillant lors du sandboxing dynamique et de l'analyse par la pile de détection ; il est donc peu probable qu'ils constituent une menace.
Les rapports des utilisateurs sont plus précis que vous ne le pensez pour signaler des tentatives de phishing
Nous avons utilisé deux méthodologies distinctes pour examiner les types de messages signalés par les utilisateurs. En effet, certaines sociétés souhaitent que leurs utilisateurs ne signalent que les messages malveillants. Ils ne veulent pas qu'ils utilisent PhishAlarm pour signaler les spams, ou alors ils préfèrent que cela soit fait en utilisant un autre outil. D'autres clients souhaitent que leurs utilisateurs signalent les messages malveillants et les spams à leur boîte email de signalement d'abus, car ces deux types d'emails peuvent potentiellement être préjudiciables.
Il convient de noter que les clients qui utilisent PhishAlarm peuvent ou non utiliser Proofpoint Email Security, ce qui peut avoir un impact sur la probabilité que des messages malveillants/suspicieux atteignent les utilisateurs.
Avec notre première méthodologie (qui inclue uniquement les messages malveillants ou suspects), nous avons été surpris de constater l'efficacité avec laquelle les utilisateurs sont capables de repérer les emails malveillants :
Première méthode : inclusion uniquement des messages malveillants ou suspects
Figure 2. Axe Y : nombre de clients, axe X : pourcentage d'utilisateurs d'une organisation qui signalent des emails malveillants ou suspects. La plupart des organisations ont tendance à se situer dans une fourchette d'environ 30 % d'utilisateurs signalant des messages malveillants ou suspects avec précision, mais les organisations les plus performantes peuvent atteindre une précision largement supérieure à 50 %.
Le taux moyen de signalement des messages malveillants ou suspects est indiqué dans le graphique ci-dessus par centiles :
|
Centile |
|
|
25% |
18.1% |
|
50% |
29.6% |
|
75% |
41.1% |
|
Moyenne |
31.0% |
|
Le plus performant |
100% |
Après avoir analysé des millions de messages signalés par des milliers d'organisations à travers le monde, nous avons été ravis de constater la progression de la précision des signalements des utilisateurs. Nos résultats soulignent que les utilisateurs peuvent constituer une puissante ligne de défense dans la lutte contre les attaques de phishing.
Par exemple, dans le quartile le plus performant, près de deux cinquièmes des emails signalés étaient malveillants ou suspects, en moyenne. De nombreuses organisations ont pu atteindre des taux de précision supérieurs à 60 %. Et si l'on inclut les spams, le taux de signalement moyen est encore plus élevé.
Deuxième méthode : messages malveillants ou suspects, spam inclus
Figure 3. Graphique des rapports de PhishAlarm indiquant le taux de signalement des messages malveillants, suspects ou de spam.
Taux moyen de signalement des messages malveillants, suspects ou de spam :
|
Centile |
|
|
25% |
20.4% |
|
50% |
31.7% |
|
75% |
42.6% |
|
Moyenne |
33.1% |
|
Le plus performant |
100% |
Avec notre deuxième méthodologie, nous avons été agréablement surpris - une fois de plus - de constater que les utilisateurs signalent avec précision des messages malveillants, suspects ou de spam avec le module complémentaire PhishAlarm. Avec cette étude, nous avons constaté que les utilisateurs signalent encore mieux les mauvais messages aux équipes internes, soit en moyenne un tiers des emails.
En outre, les nouveaux tags de signalement des emails de la fonction Report Suspicious de Proofpoint nous amènent à dire que les utilisateurs pourraient s'améliorer pour signaler les emails de phishing. Avec la présence de notifications HTML intégrées en temps réel sur tous les appareils et un mécanisme de signalement plus simple en moins de clics, les utilisateurs pourraient améliorer la fréquence et la précision de leurs signalements. Ces petites aides peuvent être personnalisées pour différents types d'emails potentiellement malveillants afin d'attirer l'attention des utilisateurs et de leur permettre de signaler le phishing plus facilement.
Figure 4. Les tags de signalement d'emails avec Report Suspicious, désormais disponibles pour les clients de Proofpoint Email Protection, peuvent contribuer à augmenter les taux de signalement des utilisateurs et leur précision.
À retenir : responsabilisez vos employés et renforcez-les avec l'automatisation pour signaler le phishing
Juste avant la pandémie de COVID-19, je me trouvais à un événement à Chicago et j'ai discuté avec un client me disant que son équipe testait notre bouton de signalement PhishAlarm. Il m'a également dit que son équipe hésitait à s'engager pleinement dans l'utilisation du module complémentaire tant que la solution CLEAR (Closed-Loop Email Analysis and Response) de Proofpoint ne serait pas mise en place. Il s'agit de notre solution d'automatisation des boîtes aux lettres abusives. Le client a expliqué que son équipe craignait d'être surchargée par les messages faussement positifs signalés par les utilisateurs.
En moyenne, environ deux tiers des emails que les utilisateurs signalent à des fins d'enquête ne sont pas dangereux, ce qui signifie qu'il est possible d'améliorer la précision des rapports utilisateurs. Alors, comment gérer le nouveau comportement des utilisateurs qui signalent à votre boîte aux lettres des messages abusifs qui ne sont peut-être pas tous dangereux ? Il suffit d'utiliser les instincts comportementaux des utilisateurs et de les combiner avec une automatisation puissante pour obtenir des résultats idéaux.
Pour en savoir plus sur ce processus, consultez le prochain article de notre série de blogs, qui sera bientôt disponible ! Abonnez-vous ci-dessous pour recevoir un résumé des nouveaux articles de blog de Proofpoint comme celui-ci.