Exercices d'incendie et tests de phishing

Les tests de phishing modernes, comme les tests d'évacuation d'incendie précoces, se concentrent sur la performance individuelle et aboutissent souvent à blâmer les employés pour avoir succombé à des attaques simulées. Ces tests, bien qu'exigés par des réglementations comme FedRAMP, manquent de preuves pour réduire les attaques de phishing réussies et peuvent être contre-productifs, comme le montrent les recherches sur les "clickeurs répétés". De plus, contourner les défenses anti-phishing existantes pour des fins de test crée une perception erronée du risque et charge inutilement les équipes de détection et de réaction avec des rapports inutiles. Cette approche endommage également la confiance entre les employés et les équipes de sécurité. Au lieu de ces tests adversariaux, l'industrie de la cybersécurité devrait adopter une approche de "drill de phishing", similaire aux pratiques modernes de sécurité incendie. Cela impliquerait d'éduquer les employés pour identifier et signaler les tentatives de phishing par des instructions claires et des exercices de pratique. Un drill de phishing se concentrerait sur la formation des employés pour reconnaître les e-mails de phishing et les signaler efficacement, plutôt que de les tromper. Les métriques collectées pendant ces drills se concentreraient sur la vitesse de signalement et l'engagement, fournissant des données précieuses pour les équipes de sécurité. En fin de compte, tandis que l'éducation des employés sur le phishing est cruciale, une solution plus efficace à long terme réside dans l'investissement dans des systèmes sécurisés par défaut et l'ingénierie de défenses comme les identifiants non-phishables et les processus d'approbation multipartite pour les opérations sensibles. Ce changement d'approche favoriserait une culture de sécurité plus collaborative et moins adversariale, permettant aux employés de devenir des participants actifs de la sécurité organisationnelle. En reconnaissant les limites de la faillibilité humaine et en priorisant les défenses système robustes, les organisations pourraient mieux atténuer les risques posés par les attaques de phishing.