Mobiliser les collaborateurs pour signaler les e-mails de phishing: ça marche, selon une étude suisse

Des chercheurs de l’EPFZ ont réalisé une vaste étude sur la réponse des collaborateurs aux e-mails de phishing. Duran tun laps de 15 mois, ils ont envoyé huit messages de phishing simulés à près de 15’000 collaborateurs travaillant dans différents départements d’une grande entreprise partenaire de l’étude. Les chercheurs ont par ailleurs mis au point un bouton dans l’application mail permettant aux employés de signaler des messages suspects. Cette infrastructure en place, ils ont analysé qui sont les collaborateurs les plus vulnérables, comment cette faiblesse évolue dans le temps, quelle est l’effectivité des formations et avertissements, et quel rôle peuvent jouer les collaborateurs dans la détection du phishing.

Inédite de par son ampleur, l’étude montre que la vulnérabilité des collaborateurs dépend de leur âge, de leurs compétences IT, mais aussi que les collaborateurs ayant une utilisation très spécialisée de leur ordinateur sont plus souvent piégés (par exemple le personnel d’une succursale employant en général un seul programme dédié). Il apparaît par ailleurs que certains collaborateurs se font berner de manière répétée et qu’à la longue beaucoup de collaborateurs finissent par être piégés par les messages frauduleux.

Les alertes ça marche, les invitations à se former moins

L'étude confirme par ailleurs que les alertes en tête des e-mails (telles que celles prodiguées par Gmail) se montrent efficaces, quel que soit leur niveau de détail. Les avertissements ont contribué à ce que les participants ne cliquent par sur les liens ou n’activent pas les macros contenues dans certains messages de simulation, relèvent les chercheurs.

Autre constat plutôt surprenant, les pages proposant une formation aux collaborateurs qui viennent de se faire piéger, ne servent pas à grand chose. Statistiquement, les employés qui se sont vus proposer ces formations se sont même montrés plus vulnérables par la suite. Pour l’expliquer, les chercheurs font l’hypothèse que ces messages ont renforcé le sentiment de sécurité des utilisateurs…

Crowdsourcer le signalement des messages suspects

S’agissant de la signalisation de messages suspects, les chercheurs ont constaté que le jugement des utilisateurs était correct dans 68% des cas pour les tentatives de phishing et 79% pour les spam. L’étude montre surtout que les employés sont relativement rapides à réagir: 10% des signalements sont réalisés dans les 5 minutes et 35% dans la demi-heure.

Sur la base de ces chiffres, les chercheurs relèvent que, dans une grande entreprise dont une centaine d’employés ont été visés par une attaque de phishing, les collaborateurs enverraient 8 à 25 signalements, le premier arrivant sans doute dans les 5 minutes et un plus grand nombre dans les 30 minutes.

Pour les chercheurs, ces résultats montrent que le recours aux utilisateurs pour l’identification des messages de phishing au niveau de l’entreprise permettrait de réduire significativement la menace. A cela s’ajoute que les chercheurs n’ont constaté aucune baisse de performance dans la durée.

Le mécanisme de crowdsourcing pourrait être mis en œuvre et opéré économiquement, selon les chercheurs. Pour encourager les collaborateurs à rapporter tout message suspect et éviter la surcharge du personnel IT, ils proposent de déployer un dispositif de filtrage en complément de l’appliance anti-phishing, pour écarter les faux positifs ou mails bénins parmi les signalements.

L’étude est disponible ici: «Phishing in Organizations: Findings from a Large-Scale and Long-Term Study», Daniele Lain, Kari Kostiainen, et Srdjan Capkun, décembre 2021

> Sur le même sujet: Comment améliorer la sensibilisation des collaborateurs au risque cyber?