Les avantages d'une formation personnalisée de sensibilisation à la sécurité basée sur les rôles

La formation à la sensibilisation à la sécurité basée sur le rôle adapte le matériel de formation et les mécanismes de diffusion au rôle de l’employé et réduit le risque cybernétique associé à ce rôle.

Le monde est complexe et diversifié et les personnes qui le composent sont un creuset de capacités, de compétences et d’attitudes. Au sein d’une entreprise, cette diversité est souvent mise à profit en créant des rôles spécifiques qui tirent parti de ces différentes aptitudes et compétences.

Les cybercriminels savent que les gens jouent des rôles spécifiques au sein d’une organisation. Les fraudeurs adaptent souvent leurs attaques en fonction de la cible. Par exemple, les attaques de type « Business Email Compromise » (BEC) se concentrent généralement sur les employés occupant des postes de direction et de comptabilité. Les fraudeurs adaptent les campagnes d’hameçonnage ou d’autres attaques d’ingénierie sociale en fonction de l’intitulé du poste d’une personne, ce qui leur permet d’exploiter des caractéristiques humaines intrinsèques telles que la confiance, pour garantir leur succès.

Cependant, si les fraudeurs utilisent l’ingénierie sociale basée sur les rôles et le phishing pour améliorer le succès de leurs cyberattaques, alors deux personnes peuvent jouer ce jeu.

Une formation de sensibilisation à la sécurité basée sur les rôles pour stopper le phishing basé sur les rôles

Les cybercriminels aiment s’assurer que les campagnes qu’ils conçoivent seront couronnées de succès : ils savent que plus un courriel de phishing est personnalisé, plus la cible a de chances de croire que le courriel est réel et de cliquer sur un lien malveillant ou d’agir en fonction de la demande de changement de banque et d’envoi urgent d’argent, etc.

Le spear-phishing est souvent l’arme de prédilection lorsqu’un cybercriminel cible une fonction spécifique au sein d’une organisation. Cette forme d’hameçonnage utilise des messages hautement personnalisés pour manipuler certains types d’employés. Les fonctions typiques qui font l’objet d’attaques de spear-phishing sont les suivantes :

• Cadres de haut niveau et assistants de direction
• Paiements
• RH
• Finances et comptes créditeurs
• Utilisateurs privilégiés

Les cadres de haut niveau et les assistants de direction : Les fraudes de type « Whaling » et BEC(Business Email Compromise) se concentrent sur les cadres de haut niveau d’ une organisation cible. Les fraudeurs peuvent également cibler les assistants exécutifs, en utilisant l’ingénierie sociale et le spear-phishing pour accéder au compte de messagerie du PDG ou à d’autres informations personnelles. Des courriels compromis ou usurpés de CXO sont utilisés pour initier la fraude BEC.

Service de la paie: les fraudeurs ciblent les employés du service de la paie qui gèrent le paiement des salaires des employés, afin de rediriger l’argent vers le compte bancaire de l’escroc. Par exemple, le fraudeur peut usurper l’adresse électronique d’un employé en lui demandant de modifier les coordonnées de son compte bancaire.

Ressources humaines (RH) : les RH détiennent des informations hautement confidentielles et personnelles. Cette fonction est donc exposée au risque de campagnes de spear-phishing visant à obtenir l’accès à des données qui peuvent ensuite être exploitées dans le cadre d’autres attaques. Un employé des ressources humaines peut être amené à révéler des informations sur un cadre de haut niveau ou un autre employé afin d’obtenir les renseignements nécessaires à la réalisation de la fraude.

Finances et comptabilité fournisseurs: le service qui tient les cordons de la bourse est une cible évidente pour les cybercriminels. La fraude BEC, par exemple, aboutit souvent à la porte de la comptabilité fournisseurs. Mais il existe de nombreux types de fraude qui se concentrent sur cette fonction. La fraude aux comptes fournisseurs est très répandue et un rapport a révélé que 50 % des petites entreprises au Royaume-Uni étaient exposées à ce type de fraude, qu’il s’agisse de menaces internes ou externes.

Utilisateurs privilégiés : les cybercriminels ciblent les utilisateurs privilégiés car ce sont eux qui détiennent les « clés du château de l’entreprise ». Les utilisateurs privilégiés ont des droits d’accès aux zones sensibles d’un réseau et, en tant que tels, ils offrent une voie d’accès directe à ce réseau à tout cybercriminel qui peut les amener à donner leurs informations d’identification ou à télécharger des logiciels malveillants. Selon un rapport, 63 % des organisations estiment que les utilisateurs privilégiés présentent le risque le plus élevé de menace interne.

Simulation d’hameçonnage dans le cadre des programmes de sensibilisation à la sécurité basés sur les rôles

La simulation d’hameçonnage est un excellent moyen de sensibiliser les employés à l’hameçonnage et aux cybermenaces. En adaptant les messages de phishing simulés aux rôles de votre personnel, vous pouvez simuler les mêmes tactiques que celles utilisées par les cybercriminels lorsqu’ils ciblent un groupe spécifique au sein d’une organisation. La simulation d’hameçonnage devient ainsi plus réelle et plus spécifique au rôle de la personne concernée.

Pour effectuer des simulations d’hameçonnage basées sur les rôles, une plateforme doit prendre en charge des modèles d’hameçonnage qui peuvent être adaptés à chaque rôle. Par exemple, les titres de phishing basés sur les rôles reflètent les types de rôles qui sont souvent ciblés par le spear-phishing.

Exemples d’attaques de phishing basées sur le rôle

Cible des utilisateurs privilégiés : Le groupe de pirates informatiques Lazarus est tristement célèbre pour l’attaque du ransomware WannaCry en 2017. Plus récemment, le groupe a utilisé des campagnes de phishing ciblées, basées sur des offres d’emploi usurpées, qui se concentrent sur les utilisateurs privilégiés. L’une des plus récentes a ciblé un administrateur système d’une plateforme de crypto-monnaies. L’administrateur système a reçu un document de phishing sous la forme d’une offre d’emploi via son compte LinkedIn personnel.

Comptes créditeurs: Facebook et Google ont été escroqués de plus de 100 millions de dollars par un fraudeur qui a ciblé les employés des deux géants de la technologie en utilisant des courriels de spear-phishing destinés à certains rôles d’utilisateurs.

Fraude au mandat salarialLes campagnes d’hameçonnage qui impliquent le vol des chèques de paie des employés constituent un terrain idéal pour les escrocs motivés par des considérations financières. Souvent, les fraudeurs envoient des courriels au personnel des ressources humaines ou de la paie avec une demande de changement de compte bancaire. Le courriel de phishing usurpe souvent l’identité d’un véritable employé, inclut sa signature électronique et semble provenir d’un domaine interne de l’entreprise. Si le changement est effectué, le salaire de l’employé est versé sur le compte bancaire du fraudeur.

Raisons de personnaliser la formation à la sensibilisation à la sécurité

Le spear-phishing est l’une des méthodes préférées des fraudeurs axés sur le rôle et connaît un grand succès en raison de la nature ciblée de ce type de phishing. Selon un rapport de Symantec, le spear-phishing est utilisé comme vecteur principal dans 65 % des cyberattaques. En ciblant les rôles spécifiques des employés, les cybercriminels peuvent créer des escroqueries complexes en plusieurs étapes qui fonctionnent.

Les programmes de formation basés sur les rôles et les simulations d’hameçonnage associées à ces rôles constituent un programme d’éducation sur mesure qui permet de battre les cybercriminels à leur propre jeu. En enseignant aux employés la nature exacte du phishing et des escroqueries d’ingénierie sociale qui ciblent spécifiquement leur rôle, vous leur donnez les moyens d’examiner attentivement les courriels et autres communications.  

Les avantages de la personnalisation de la formation à la sensibilisation à la sécurité

La personnalisation de la formation de sensibilisation à la sécurité offre des avantages significatifs en abordant les risques et les défis uniques auxquels sont confrontées les différentes fonctions au sein d’une organisation. Les programmes de formation génériques ne parviennent souvent pas à préparer correctement les employés aux cybermenaces spécifiques qu’ils sont le plus susceptibles de rencontrer dans leurs tâches quotidiennes. Une formation personnalisée garantit que les employés reçoivent une formation pertinente et ciblée qui traite directement des types d’attaques de phishing, des tactiques d’ingénierie sociale et d’autres cyber-risques les plus pertinents pour leurs fonctions.

En adaptant la formation aux différents services et fonctions, les organisations peuvent créer une main-d’œuvre plus engagée et mieux informée, ce qui améliore l’efficacité globale du programme de sécurité. Le principal avantage de la personnalisation de la formation de sensibilisation à la sécurité est qu’elle renforce la capacité des employés à reconnaître les menaces spécifiques à leur rôle, réduisant ainsi les risques de failles de sécurité coûteuses. Elle garantit également la conformité aux réglementations sectorielles et favorise une culture de la sécurité proactive dans l’ensemble de l’entreprise.

MetaCompliance propose des programmes de formation personnalisés, basés sur les rôles, conçus pour cibler les risques de sécurité propres à chaque rôle et à chaque département. Découvrez comment nos formations départementales de sensibilisation à la sécurité peuvent fournir les connaissances spécialisées dont vos différentes équipes ont besoin pour rester en sécurité.