Phishing : qu’encourt-on si on en est victime ? Les tests sont-ils efficaces ?
Il est légal pour une entreprise de piéger ses employés avec des tests d’hameçonnage, mais cette pratique seule peut se révéler inefficace, voire contre-productive. Un programme de sécurité complet et cohérent, qui combine sensibilisation, formation, outils et procédures de protection est la meilleure prévention contre les cyber-attaques. En tout état de cause l’employeur ne peut pas sanctionner un salarié victime de phishing.
Les entreprises font face à une recrudescence de cyberattaques, notamment de phishing, ces mails d’hameçonnage visant à extorquer à leurs employés des informations personnelles ou sensibles ou bien à pénétrer les systèmes d’information. Il est donc légitime qu’elles luttent contre ces menaces.
Pour autant doivent-elles chercher à piéger les salariés en leur envoyant de faux courriels de phishing pour identifier ceux qui répondraient machinalement, cliqueraient sur un lien ou ouvriraient une pièce jointe ? Des études récentes (YVAN BAREL enseignant-chercheur à l’Université de Nantes dans MagRH, n° 11 d’octobre 2020) ont mis en évidence des effets pervers d’une telle pratique :
- Au lieu d’être attentifs aux règles de sécurité, les salariés concernés resteraient ou deviendraient plus vulnérables aux attaques externes.
- Le groupe de personnes piégées vivraient un sentiment de honte et de ressentiment qui pourraient affaiblir leur confiance, leur engagement et leur productivité.
- À la frustration des collaborateurs piégés s’ajoute un malaise partagé par la majorité des employés, peut-être un peu amusés, mais surtout choqués par une direction capable de telles pratiques.
Certaines entreprises appliqueraient-elles une logique de vaccination ? De même qu’un un virus atténué inoculé dans un organisme lui permet de s’immuniser, des courriels d’hameçonnage simulés pourraient aider les salariés à se préparer contre des attaques réelles… Il nous semble plus efficace de sensibiliser au phishing en misant sur la curiosité des salariés, leur envie d’apprendre plutôt que sur une menace de stigmatisation voire de sanction.
Chez Michelin, la démarche est plus équilibrée et ne se limite pas aux tests ; un certain nombre de modules sont mis à disposition : cours Coorp Academy (Phishing : se protéger contre le piratage) ou e-learning (G00450 IS SECURITY PHISHING NIVEAU AVANCE) : nous vous engageons à les suivre. Une assistance est aussi en place en cas de doute sur un mail suspect (Report phishing intégré à l’outil Outlook) ou si vous êtes déjà victime (Helpdesk 51111).
La meilleure prévention contre les cyber-attaques est donc bien un programme complet de sécurité qui combine des technologies, des pratiques et des procédures de sécurité. Il comprendra des mesures de formation pour sensibiliser les employés aux menaces en ligne et leur apprendre à reconnaître et à éviter le phishing. Il impliquera également des contrôles technologiques tels que des logiciels de sécurité, des pares-feux et des mises à jour de sécurité régulières et enfin des procédures en cas d’alertes.
Christophe Le Roux, Elu CSE Clermont