Les acteurs malveillants savent que les employés sont leur point d'entrée le plus simple, explique John Grady, analyste du groupe de stratégie d'entreprise.
«Les employés sont absolument le maillon le plus faible sans aucune faute de leur part. Ils ont d'autres domaines d'intervention, en particulier dans les soins de santé», explique Grady. « Avec le ransomware, il suffit d'un utilisateur en cliquant par erreur sur quelque chose. Un changement d'esprit fondamental doit avoir lieu, et la seule façon de le faire est par l'éducation des utilisateurs. »
Certes, les organisations de l'industrie notent que la mauvaise formation des utilisateurs peut avoir un impact sur la cybersécurité: 31% des décideurs informatiques ont cité une formation insuffisante ou inefficace comme une préoccupation majeure de leur stratégie, selon le rapport de recherche de la cybersécurité de la CDW 2024.
Améliorer la formation pour empêcher les tentatives de phishing réussies
Comme tous les campus de l'Université de Californie, UC San Diego Health nécessite une formation annuelle sur la cybersécurité, qu'elle effectue via un système de gestion de l'apprentissage. L'organisation complète cela avec des simulations de phishing mensuelles; Par exemple, l'envoi de faux e-mails de phishing comme test.
Plus récemment, Currie a augmenté une troisième expérience de formation: des sessions en personne personnalisées à des départements spécifiques.
C'est en réponse à une étude récente sur les employés de l'UC San Diego Health qui ont constaté que deux formes courantes de formation – une formation annuelle de sensibilisation à la sécurité et des attaques de phishing simulées – offrent une valeur limitée. En fait, dans ces exercices de phishing simulés, les utilisateurs formés n'avaient en moyenne qu'un taux de défaillance de 1,7% plus faible que les utilisateurs non formés.
Currie a aidé à l'étude parce qu'il voulait comprendre la meilleure façon de former les employés. Maintenant, il augmente les séances en face à face pour améliorer la formation. Il dirige ces formations spécifiques au département en personne, soit par le biais d'appels vidéo et de les adapter à des risques spécifiques.
Par exemple, un partenaire commercial compromis peut envoyer un e-mail demandant des informations bancaires liées à un paiement de facture. «Nous essayons de faire plus de ces séances en personne. Je pense que c'est de loin le moyen le plus efficace pour amener les gens à comprendre les risques», dit-il.
Currie voit toujours le mérite dans les exercices de phishing simulés, alors il continue de les faire. «Même si c'est marginal ou négligeable, il y a encore une certaine valeur à la formation car, à tout le moins, cela nous permet de continuer à avoir des conversations et à sensibiliser au personnel et aux professeurs tout au long de l'année», dit-il.
UC San Diego Health a déployé la passerelle d'e-mails sécurisée de Proofpoint, qui inspecte les e-mails et bloque le spam et les e-mails malveillants. Proofpoint permet également à Currie et à son équipe de mener des simulations de phishing mensuelles.
« Ceux qui cliquent sont dirigés vers une explication sur ce qui aurait dû les faire basculer qu'il s'agissait d'une fausse tentative de phishing », dit-il.
Une couverture médiatique accrue des violations et des expériences personnelles des employés avec les tentatives d'ingénierie sociale aide à renforcer la formation officielle, ajoute Currie. En conséquence, davantage d'employés transmettent désormais des e-mails suspects à l'équipe de sécurité informatique, qui a été recommandé dans la formation.
«Nous allons le regarder et vous donner un verdict», dit-il. «Nous n'allons jamais vous gifler au poignet. Nous allons vous féliciter d'être prudent.»