Passer au contenu principal

Pourquoi l'éducation bat la simulation

Les simulations de phishing sont devenues un élément standard des programmes de formation anti-phishing. Ces simulations consistent à envoyer aux employés des courriels reproduisant les tactiques utilisées par les cybercriminels pour inciter les individus à divulguer des informations sensibles ou à cliquer sur des liens malveillants. Les employés sont évalués en fonction de leurs réactions à ces courriels simulés, notamment s'ils ont cliqué sur un lien ou fourni des informations sensibles.Cependant, cette approche présente plusieurs inconvénients et n'est pas aussi efficace qu'une formation complète contre le phishing.
Article du Wall Street Journal : 'Les tests de phishing, bêtes noires du monde du travail, deviennent de plus en plus vicieux' – Selon des chercheurs, ces ruses destinées à sensibiliser les employés crédules aux dangers d'Internet ne fonctionnent même pasArticle du Wall Street Journal : 'Les tests de phishing, bêtes noires du monde du travail, deviennent de plus en plus vicieux' – Selon des chercheurs, ces ruses destinées à sensibiliser les employés crédules aux dangers d'Internet ne fonctionnent même pas

Le problème des simulations de phishing

Les simulations de phishing, bien que largement utilisées, présentent plusieurs problèmes que les organisations devraient prendre en compte :

  1. Créer de l'anxiété et de la méfiance : Les utilisateurs peuvent devenir anxieux ou méfiants envers les emails, même légitimes, ce qui peut entraîner une baisse de productivité et une augmentation du stress.
  2. Concentration exclusive sur l'email : De nombreuses simulations de phishing ciblent principalement les menaces par email, négligeant d'autres canaux comme les SMS, les applications de messagerie ou les réseaux sociaux.
  3. Fausse impression de sécurité : Si les employés parviennent à identifier les simulations de phishing, ils peuvent développer un faux sentiment de sécurité.
  4. Surévaluation des taux de clic: Se concentrer uniquement sur le fait que les employés aient cliqué ou non sur un lien peut conduire à négliger d'autres aspects importants de la sensibilisation au phishing.
  5. Désensibiliser les utilisateurs : L'envoi répété de faux courriels de phishing peut désensibiliser les utilisateurs à la menace.
  6. Priorité à la sanction plutôt qu'à la prévention : Les simulations de phishing par email peuvent instaurer une culture de la peur, où les utilisateurs se préoccupent davantage d'éviter une sanction que d'apprendre.

Les recherches démontrent que les campagnes de simulation de phishing ne forment pas efficacement les individus à l'identification des attaques. Une étude portant sur 14 000 participants ont en réalité révélé qu'elles avaient un effet contre-productif. contre-productif Effet des simulations de phishing : les utilisateurs exposés en permanence à des simulations de phishing sont plus susceptibles de cliquer sur des liens dangereux.

Une approche plus efficace : les quiz de phishing

Les quiz de phishing offrent un environnement d'apprentissage contrôlé, bien plus efficace pour le développement des compétences que les simulations traditionnelles.

Les avantages incluent :

  1. Environnement d'apprentissage contrôlé : Les quiz de phishing créent un espace sécurisé et sans enjeu majeur où les employés peuvent mettre en pratique leurs compétences.
  2. Engagement interactif : Ces quiz encouragent la participation active et fournissent un feedback immédiat.
  3. Couverture de diverses tactiques de phishing : Les quiz de phishing peuvent intégrer des scénarios de phishing par SMS, sur les réseaux sociaux ou par messagerie vocale vishing.
  4. Renforcement de la confiance : Les employés apprennent de leurs erreurs dans un environnement bienveillant.
  5. Objectifs d'apprentissage sur mesure : Les quiz peuvent être personnalisés pour cibler des compétences spécifiques et combler les lacunes en matière de connaissances.

Commencez