Bien que la nécessité d'une formation à la lutte contre le phishing soit de plus en plus évidente, ne négligez pas la valeur d'une formation plus large en ingénierie sociale. Les tactiques de phishing étant en constante évolution, enseigner aux utilisateurs finaux les principes sous-jacents de l'ingénierie sociale peut les aider à répondre à l'évolution du paysage des menaces.
Formation à l'Ingénierie Sociale : les cibles humaines avant tout
Les tactiques de manipulation et d'ingénierie sociale sont utilisées depuis longtemps par les escrocs et les fraudeurs, et elles peuvent être adaptées pour tirer profit de nouvelles méthodes et opportunités - avec des résultats dévastateurs. Après tout, la technologie évolue beaucoup plus vite que la psychologie et les comportements sociaux des êtres humains.
L'accent mis par l'ingénierie sociale sur les angles morts humains est mis en évidence dans une définition sur le site WhatIs.com de TechTarget :
L'ingénierie sociale est un vecteur d'attaque qui repose largement sur l'interaction humaine et implique souvent de manipuler les gens pour qu'ils enfreignent les procédures de sécurité normales et les meilleures pratiques afin d'accéder à des systèmes, des réseaux ou des lieux physiques, ou pour en tirer un profit financier. ... De nombreux exploits d'ingénierie sociale reposent simplement sur la volonté des gens de se rendre utiles.
Pour les escrocs, les utilisateurs finaux constituent une cible attrayante car il est généralement moins difficile de compromettre une personne que d'utiliser d'autres méthodes, telles que les attaques techniques sur les réseaux ou les logiciels. Comme le fait remarquer TechTarget, les tactiques d'ingénierie sociale sont souvent "une première étape dans une campagne plus vaste visant à infiltrer un système ou un réseau et à voler des données sensibles ou à disperser des logiciels malveillants".
Vos utilisateurs sont-ils préparés aux attaques d'ingénierie sociale ?
Dans le cadre de notre dernier rapport "Beyond the Phish®", nous avons évalué la compréhension des utilisateurs finaux des techniques courantes d'ingénierie sociale et la manière d'identifier et d'éviter les attaques électroniques, téléphoniques et en personne. Le rapport explore les connaissances des employés sur un large éventail de meilleures pratiques en matière d'hygiène, de sécurité et de conformité dans le domaine de la cybersécurité, en analysant les données relatives à près de 130 millions de questions de cybersécurité auxquelles les utilisateurs ont répondu sur une période de 13 mois.
Nos données ont révélé que les utilisateurs finaux répondaient mal à 15 % des questions sur l'ingénierie sociale. Bien que ce résultat soit relativement encourageant - le taux d'erreur moyen pour toutes les catégories de sujets était de 22 % - il y a clairement une marge d'amélioration.
Nous avons également constaté un écart important entre les performances des différentes industries sur ce sujet. Le secteur de l'hôtellerie a démontré la meilleure compréhension de l'ingénierie sociale, avec seulement 11 % des questions auxquelles on a répondu incorrectement. En revanche, les utilisateurs des secteurs de l'éducation et de l'énergie sont les moins performants, avec 18 %. (Téléchargez le rapport "2019 Beyond the Phish" pour plus de détails sur l'industrie).
Pourquoi une formation continue ou à distance en ingénierie sociale ?
Imaginez que vous suivez un cours de conduite défensive, et que l'instructeur vous enseigne uniquement comment éviter une collision à un carrefour précis. Cette formation, aussi rigoureuse soit-elle, aurait une valeur limitée par rapport à l'apprentissage de principes et de tactiques pouvant être appliqués à diverses situations potentiellement dangereuses.
De même, la formation en ingénierie sociale aide à préparer les utilisateurs finaux à se défendre contre bien plus que les attaques de phishing par email. Les cybercriminels tentent souvent de compromettre les utilisateurs en dehors de la boîte de réception, par le biais de phishing vocal (vishing), de phishing par SMS (SMS/text phishing) et d'autres attaques d'ingénierie sociale.
Kurt Wescoe, architecte en chef de la sensibilisation à la sécurité de Proofpoint Security Awareness Training, aborde la nécessité d'une approche de formation plus large dans un article de blog : "Les tactiques qui frappent nos boîtes de réception - offres de récompenses, pressions temporelles, peur - peuvent être tout aussi efficaces dans un SMS ou un chat que dans un e-mail. Et n'oublions pas que les arnaqueurs ont souvent recours à l'ingénierie sociale en personne pour se frayer un chemin au-delà des défenses de sécurité physique.
Avec autant de vecteurs d'attaque potentiels, les utilisateurs finaux doivent faire preuve d'intelligence. Plutôt que de se concentrer sur quelques aspects de la cyberhygiène, il est logique d'adopter une approche plus globale de la formation à l'ingénierie sociale dans le cadre de vos initiatives plus larges de formation à la cybersécurité. Laissez-nous vous aider à mettre en place un programme de formation à la sensibilisation à la sécurité efficace et attrayant qui profitera à votre personnel et à votre organisation.