Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas, UK National Cyber Security Centre

par

L’échec persistant de la formation à la cybersécurité : Pourquoi dire aux utilisateurs d’éviter les mauvais liens ne suffit plus

L’article du National Cyber Security Centre (NCSC) du Royaume-Uni, publié le 13 mars 2025 et intitulé « Dites aux utilisateurs d’éviter de cliquer sur de mauvais liens’ ne fonctionne toujours pas », met en lumière une réalité frustrante et persistante dans le domaine de la cybersécurité : la formation traditionnelle des utilisateurs basée sur la simple instruction d’éviter les liens suspects est inefficace. Cet échec, loin d’être une nouvelle, est un rappel urgent que les stratégies de cybersécurité doivent évoluer pour prendre en compte la complexité croissante des menaces et les limitations de la psychologie humaine.

Le Problème Fondamental : Un Modèle Simpliste Face à une Complexité Croissante

Le modèle de formation classique repose sur l’idée que les utilisateurs, une fois informés des signes de phishing et autres techniques d’ingénierie sociale, seront capables de les identifier et de les éviter de manière cohérente. Cependant, plusieurs facteurs expliquent pourquoi cette approche échoue :

  • Sophistication croissante des attaques: Les cybercriminels utilisent des techniques d’ingénierie sociale de plus en plus sophistiquées, rendant les emails et les sites web malveillants indiscernables des communications légitimes. Ils imitent des marques connues, personnalisent les messages avec des informations obtenues via des fuites de données et exploitent des émotions fortes comme la peur, l’urgence ou la curiosité pour inciter au clic.

  • Fatigue de la sécurité: Les utilisateurs sont constamment bombardés d’informations sur la sécurité, ce qui peut conduire à une lassitude et à une diminution de l’attention portée aux détails. Ils sont également soumis à une pression constante pour être productifs et rapides, ce qui peut les amener à prendre des raccourcis en matière de sécurité.

  • Facteur humain: La nature humaine elle-même est un facteur de risque important. Les erreurs, le manque d’attention, la confiance excessive et le biais de confirmation peuvent tous conduire un utilisateur à cliquer sur un lien malveillant malgré une formation préalable.

  • Contexte et Pression Temporelle: Les utilisateurs sont souvent exposés à ces menaces dans des contextes stressants ou sous pression temporelle, les rendant plus susceptibles de faire des erreurs. Un email urgent du « PDG » demandant une action immédiate est beaucoup plus susceptible d’être suivi d’effet qu’un email impersonnel de phishing générique.

Au-Delà des Instructions : Des Approches Plus Efficaces

Si « dire aux utilisateurs d’éviter les mauvais liens » ne suffit pas, quelles sont les alternatives ? Le NCSC et d’autres experts en cybersécurité recommandent un changement de paradigme, mettant l’accent sur la création d’une culture de sécurité forte et la mise en place de mesures de protection techniques robustes :

  • Conception de systèmes résistants à l’erreur humaine: L’objectif est de rendre difficile, voire impossible, pour les utilisateurs de faire des erreurs qui compromettent la sécurité. Cela inclut des mesures telles que :

    • Authentification multifactorielle (MFA): Même si un utilisateur clique sur un lien de phishing et entre son mot de passe, le MFA empêchera l’accès non autorisé à son compte.
    • Sandboxing et virtualisation: L’exécution de programmes et l’ouverture de fichiers suspects dans un environnement isolé peut empêcher l’infection du système principal.
    • Filtres anti-spam et anti-phishing robustes: Ces filtres peuvent bloquer la majorité des emails malveillants avant qu’ils n’atteignent la boîte de réception de l’utilisateur.
    • Analyse des liens avant le clic: Des solutions de sécurité peuvent analyser les liens en temps réel pour détecter les menaces avant que l’utilisateur n’ait la possibilité de cliquer.

  • Formation continue et contextualisée: Plutôt que des sessions de formation annuelles, optez pour des formations plus fréquentes, courtes et ciblées, adaptées aux rôles et aux responsabilités spécifiques des utilisateurs. Utilisez des simulations de phishing réalistes pour tester et améliorer la vigilance des utilisateurs.

  • Création d’une culture de sécurité positive: Encouragez les utilisateurs à signaler les emails suspects sans crainte de représailles. Récompensez les comportements sécurisés et communiquez de manière transparente sur les menaces et les incidents de sécurité.

  • Surveillance et réponse aux incidents: Mettez en place des systèmes de surveillance pour détecter les activités suspectes et réagissez rapidement aux incidents de sécurité.

  • Automatisation et Intelligence Artificielle: L’IA peut jouer un rôle crucial dans l’automatisation de la détection et de la prévention des menaces, réduisant ainsi la dépendance à l’égard de l’intervention humaine.

  • Focus sur l’expérience utilisateur (UX) de la sécurité: Rendez la sécurité plus facile et plus intuitive pour les utilisateurs. Évitez les interfaces complexes et les procédures fastidieuses qui encouragent les contournements.

Conclusion : Un Investissement Nécessaire

L’article du NCSC souligne un point crucial : la sécurité est une responsabilité partagée qui nécessite un investissement continu dans des technologies de pointe, une formation efficace et une culture de sécurité forte. Se reposer uniquement sur la formation des utilisateurs pour éviter les « mauvais liens » est une stratégie vouée à l’échec. En adoptant une approche multicouche qui combine des protections techniques robustes et une sensibilisation à la sécurité continue, les organisations peuvent réduire significativement leur vulnérabilité aux cyberattaques et protéger leurs actifs les plus précieux. La sécurité n’est pas un simple ajout, c’est une fondation solide sur laquelle bâtir un avenir numérique plus sûr.

Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas

L’IA a fourni les nouvelles.

La question suivante a été utilisée pour générer la réponse de Google Gemini :

À 2025-03-13 11:22, ‘Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas’ a été publié selon UK National Cyber Security Centre. Veuillez rédiger un article détaillé avec des informations connexes de manière compréhensible.


50

Post Views: 12

Laisser un commentaire