Néanmoins, le phishing n’est pas seulement un risque pour les consommateurs, c’est aussi l’un des principaux défis de sécurité auxquels les entreprises sont confrontées pour assurer la sécurité de leurs informations. En France, l’ANSSI a enregistré depuis mars 2020 une hausse de 400 % de tentatives de phishing.

Il est urgent que les entreprises se protègent correctement contre ces attaques, et beaucoup se tournent vers la formation à la cybersécurité pour sensibiliser leurs employés aux cyberrisques. On peut alors se poser la question : quelle est l’efficacité de la formation pour mettre un terme à ces escroqueries ?

LA FAILLE DANS LA SENSIBILISATION AU PHISHING

Les entreprises ont traditionnellement misé sur la formation des utilisateurs finaux à la détection des attaques de phishing. Il existe d’innombrables documents permettant aux employés de se familiariser avec les tactiques de prévention du phishing, qu’il s’agisse de vérifier l’orthographe des e-mails ou d’appeler une personne avec laquelle ils communiquent régulièrement lorsque quelque chose semble anormal.

Il existe même des exemples d’entreprises qui font preuve de créativité dans la mise en œuvre de ces formations. En décembre dernier, GoDaddy.com a effectué un test de phishing en envoyant à 500 employés un e-mail offrant une prime de 650 dollars pour les fêtes. Le hic, c’est que les employés qui ont cliqué sur le lien n’ont pas été récompensés par une prime, mais par une formation supplémentaire en matière de cybersécurité.

Si les utilisateurs finaux deviennent plus avertis grâce à la formation, cela ne suffit pas. Les pirates informatiques sont de plus en plus sophistiqués dans leurs attaques et utilisent des infrastructures complexes sur leurs sites de phishing. Les utilisateurs finaux peuvent avoir du mal à identifier les sites illégitimes et à les différencier des vrais sites. Certaines de ces tactiques frauduleuses consistent à utiliser des liens de partage apparemment fiables, comme Dropbox, et à envoyer des invitations de calendrier avec des liens de vidéoconférence qui semblent standard dans les e-mails de phishing.

Lorsqu’il s’agit d’attaques par phishing, les gens ont tendance à croire qu’ils sont moins susceptibles de participer à des comportements risqués et moins sensibles aux escroqueries que les autres personnes de leur entourage. Cela crée un faux sentiment de sécurité à l’égard de ces attaques.

Pour aggraver les choses, ces arnaques font souvent appel à des techniques d’ingénierie sociale pour tromper et manipuler les individus afin qu’ils effectuent l’action souhaitée - généralement cliquer sur un lien ou télécharger une pièce jointe. Elles s’appuient également sur le quotidien des employés qui collaborent et travaillent en ligne, car les actions doivent souvent être prises rapidement. Conçus pour susciter une réaction urgente et émotionnelle, bon nombre de ces e-mails frauduleux incitent les personnes à ne pas faire preuve de logique et à négliger les signaux d’alarme, jusqu’à ce qu’il soit trop tard.

LA TECHNOLOGIE POUR UNE EXPÉRIENCE UTILISATEUR PLUS SÛRE ET PLUS FACILE

Si l’on ne peut pas faire confiance aux utilisateurs pour leurs actions, la seule façon de progresser est de faire évoluer la manière dont ils sont authentifiés afin de s’assurer que les acteurs malveillants soient tenus à l’écart. Cela signifie qu’il faut réduire la charge de l’authentification de l’utilisateur pour s’appuyer sur la technologie.

Il existe déjà des options technologiques que les entreprises peuvent adopter pour se protéger contre les attaques de phishing et rendre la vie des utilisateurs plus facile et plus sûre. L’authentification cryptographique sécurisée, par exemple, assure la sécurité et la confidentialité des informations de connexion – ce qui permet aux entreprises d’offrir une expérience utilisateur plus sûre et de meilleure qualité.

Ces solutions utilisent des protections techniques contre le phishing des justificatifs d’identité, comme celles définies dans les normes établies par plusieurs acteurs du secteur. Avec ces approches, l’appareil et le navigateur travaillent en coulisse pour s’assurer que le site Web visité est authentique et non un site de phishing se cachant derrière un domaine similaire. Cela permet d’éviter les erreurs courantes, comme la confusion entre un "0" et un "O". Par conséquent, les utilisateurs n’ont plus à s’inquiéter de devoir faire attention à de telles attaques, et pourront laisser l’appareil s’occuper de ces détails. Ils ne doivent pas baisser la garde pour autant !

NOUS NE SAVONS PAS MIEUX, MAIS NOUS POUVONS MIEUX AGIR

Aujourd’hui, la prévention des attaques par phishing de justificatifs d’identité devrait moins porter sur la formation des utilisateurs que sur l’adoption d’une solution technologique d’authentification qui fonctionne réellement pour prévenir ces attaques. Si la formation des utilisateurs réduit le risque, elle ne le supprimera jamais. Pour se défendre, il faut désormais adopter une approche coordonnée et stratifiée de la sécurité. En créant une succession d’obstacles, chaque obstacle supplémentaire rend moins probable le passage des attaques malveillantes.

Alors que les entreprises élaborent des stratégies de reconstruction et de reprise et se préparent à une nouvelle "normalité" post-pandémie, elles doivent continuer à se concentrer sur tous les aspects de la cybersécurité et donner la priorité à l’utilisation de technologies d’authentification facilement disponibles pour prévenir la menace permanente du phishing.