Une étude remet en question l’efficacité des formations anti-phishing
Sur huit mois, des chercheurs ont évalué deux types de formation anti-phishing auprès du personnel d’UC San Diego Health. Les résultats indiquent une efficacité très limitée de ces approches.
La majorité des formations en cybersécurité, telles qu’elles sont aujourd’hui déployées dans les grandes organisations, n’aurait que peu d’impact sur la probabilité qu’un employé clique sur un email de phishing. C’est du moins la conclusion marquante d’une étude de grande ampleur menée à UC San Diego Health (le système de santé universitaire affilié à l’Université de Californie à San Diego).
Durant huit mois, les chercheurs ont envoyé dix campagnes de phishing simulé à plus de 19'500 collaborateurs, relate un article en ligne sur le site de l’UC San Diego Health. Selon ses auteurs, cette recherche constitue à ce jour la plus vaste analyse contrôlée de l’efficacité des formations anti-phishing. Ces travaux ont été présentés en août à la conférence Black Hat à Las Vegas, après une première présentation en mai à l’IEEE Symposium on Security and Privacy à San Francisco.
Deux types de formation ont été évalués: d’une part, la formation annuelle obligatoire suivie en ligne; d’autre part,des tests ponctuels qui consistent à fournir une explication pédagogique immédiatement après qu’un employé clique sur un lien de phishing simulé. Les résultats montrent qu’aucune de ces approches n’a permis de réduire significativement les risques. «Nos résultats suggèrent que les formations anti-phishing, dans leur forme actuelle, offrent peu de valeur pratique pour réduire les risques», écrivent les chercheurs.
Des clics de plus en plus fréquents
L’étude révèle que l’efficacité de la formation consistant à afficher une explication après que l' utilisateur ait cliqué sur un faux lien a conduit à une baisse du taux d’échec de seulement 2%. Par ailleurs, les comportements se sont dégradés au fil du temps: alors que 10% des employés cliquaient sur un lien frauduleux lors du premier mois, plus de la moitié l’avaient fait au bout de huit mois.
Un facteur majeur de cette inefficacité réside dans les comportements de désengagement des utilisateurs. Trois quarts des utilisateurs ont consulté les supports d’entraînement intégrés pendant moins d’une minute. Et un tiers les a fermés immédiatement, selon Grant Ho, co-auteur de l’étude et professeur à l’Université de Chicago.
Tous les messages ne se valent pas
Le taux de clic variait fortement selon la nature du message. Moins de 2% des employés ont cliqué sur une demande factice de mise à jour de mot de passe Outlook. En revanche, plus de 30% ont été piégés par un faux message annonçant une modification de la politique de vacances de l’institution.
Les auteurs recommandent aux organisations de réorienter leurs efforts vers des solutions techniques jugées plus efficaces. Ils citent notamment l’authentification à deux facteurs et les gestionnaires de mots de passe qui ne s’activent que sur les bons domaines. Ces approches, selon eux, offriraient un meilleur retour sur investissement en comparaison des formations actuelles.
