70% des employés du secteur public divulguent des mots de passe lorsqu'ils interagissent avec des e-mails de phishing
Une simulation d'hameçonnage à grande échelle menée comme un test et une expérience de sécurité a été récemment achevée et les résultats ne sont pas très encourageants. Les participants étaient des employés du secteur public du monde entier et la recherche s'est concentrée sur la facilité avec laquelle il est possible de les amener à divulguer involontairement leurs identifiants de connexion au travail pour simuler des tentatives de vol d'acteurs malveillants.
La simulation a conclu que 70% des employés du secteur public sont très susceptibles de remplir leurs informations d'identification après avoir suivi un lien trouvé dans un e-mail de phishing.
D'autres chiffres révèlent à la suite de l'expérimentation, menée par Terranova Security, qu'un cinquième des salariés étaient très rapides et désireux de cliquer sur les liens contenus dans les e-mails de phishing. Ce qui est inquiétant ici, c'est que ce nombre a presque doublé par rapport aux chiffres publiés dans le 2019, et cette tendance était valable même parmi les employés qui avaient déjà participé à une autre série de simulations de phishing.
Les modèles d'hameçonnage utilisés dans la simulation ont été spécialement conçus pour refléter la situation actuelle imposée par Covid, où des millions de personnes travaillent à domicile, sur un système généralement moins sécurisé que leur ordinateur de bureau. Un exemple de modèle comprenait un faux e-mail contenant des conseils sur la façon de se protéger de Covid-19, censé être envoyé par l'Organisation mondiale de la santé, contenant un lien malveillant vers un faux document PDF.
La situation n'est pas très jolie à regarder dans d'autres secteurs d'activité également. Les employés travaillant dans les services de transport ont enregistré un ratio de 70% de clics sur soumission. Il peut être quelque peu réconfortant que les secteurs de la finance et de l'éducation aient obtenu les meilleurs résultats avec seulement environ 8% chacun.
Les entreprises et les industries doivent évidemment se concentrer davantage sur les programmes de formation et sensibiliser davantage aux dangers du phishing. Il semble même juste à la suite des événements mondiaux de sensibilisation à la cybersécurité qui ont eu lieu en octobre, que la capacité des gens à distinguer un e-mail de phishing d'un vrai est encore très floconneuse.
Vous ne pouvez pas forcer les gens à développer leur bon sens, mais c'est généralement du bon sens qui aide à filtrer les faux appâts de phishing et à rester en sécurité.