D’après Sébastien Baron, Directeur Technique de Mimecast France, rencontré aux Assises de la Cybersécurité 2024, les campagnes de sensibilisation à la cybersécurité mériteraient d’être repensées pour en améliorer l’efficacité.
Les solutions de sensibilisation et de simulation d’hameçonnage sont-elles efficaces ? C’est la question que s’est posée cet été Mimecast, entreprise spécialisée dans la gestion du risque humain. Dans une étude interne, réalisée auprès de 42 000 clients et qui n’a pas été rendue publique, l’entreprise a comparé le nombre d’incidents supplémentaires interceptés entre ceux qui n’utilisaient pas de solutions de sensibilisation à la cybersécurité et ceux qui en utilisaient, toutes entreprises confondues, Mimecast incluse. Résultat : le taux de réduction des incidents n’est que de 0,00015 % supplémentaires pour ceux ayant déployé des initiatives d’Awareness Training. En d’autres termes, l’impact de ces formations serait quasiment nul, au vu de ces chiffres.
Mais alors, où est le problème ? Le plus souvent, ces campagnes de sensibilisation s’adressent à l’ensemble des employés, sans distinction entre ceux qui adoptent de mauvaises pratiques et ceux qui suivent déjà les bonnes. « Cette approche n'est pas optimale : pourquoi perturber des utilisateurs qui se comportent correctement alors que seuls quelques-uns sont réellement à risque ? », s’interroge Sébastien Baron. Autre limite : les simulations de fausses campagnes de phishing sont généralement conçues par des personnes tentant de se mettre dans la peau d’un hacker, mais les scénarios imaginés ne reflètent pas nécessairement les méthodes réelles utilisées par les cybercriminels.
Un traitement au cas par cas
Partant de ce constat, Mimecast a décidé de changer d’approche. « Les formations n’ont pas changé, seulement la façon de les délivrer », explique Sébastien Baron. L’idée est désormais de s’appuyer sur des données réelles plutôt que sur des scénarios hypothétiques, afin de cibler uniquement les utilisateurs qui adoptent de mauvaises pratiques. Ces mauvaises pratiques sont identifiées, non pas via des simulations, mais directement à partir des outils en production. Les erreurs commises sur le réseau, dans la messagerie ou lors de la navigation sur Internet sont analysées grâce aux systèmes de défense existants. Ces erreurs, qui reflètent donc de véritables menaces bloquées par les solutions de sécurité, permettent de détecter les utilisateurs à risque et de leur proposer des formations adaptées.
Sébastien Baron réfute tout argument purement marketing visant à se démarquer des concurrents. « Notre solution d’Awareness Training, comme celles des autres, a obtenu ces résultats. Mais il faut avoir le courage d’admettre que, même si les formations sont bien conçues, les simulations optimisées, et que le bouton de signalement est en place, le résultat final reste décevant. » Cette remise en question du marché de la formation en cybersécurité est un « sujet Voldemort », selon les mots de Sébastien Baron : « Tout le monde le connaît, mais personne n’ose en parler. » Il précise toutefois que ces chiffres ne concernent que les clients Mimecast. D’autres études plus approfondies devront sans doute être menées pour évaluer l’efficacité réelle des méthodes de sensibilisation actuelles.