Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas, UK National Cyber Security Centre

par

Pourquoi dire aux utilisateurs « d’éviter de cliquer sur de mauvais liens » ne suffit toujours pas : Analyse de l’article du NCSC britannique

L’article de blog du National Cyber Security Centre (NCSC) britannique, publié le 13 mars 2025 et intitulé « Telling Users To Avoid Clicking Bad Links Still Isn’t Working », met en évidence un problème persistant et crucial dans la cybersécurité : l’éducation des utilisateurs sur les dangers des liens malveillants ne se traduit pas toujours par une réduction significative des clics sur ces liens. L’article souligne la nécessité de repenser les stratégies de sensibilisation à la sécurité et d’adopter des approches plus efficaces pour protéger les individus et les organisations.

Problèmes fondamentaux soulevés par l’article :

  • La complexité de l’ingénierie sociale : Les cybercriminels sont devenus extrêmement sophistiqués dans leurs techniques d’ingénierie sociale. Ils exploitent habilement la psychologie humaine, jouant sur les émotions, la confiance et l’urgence pour inciter les utilisateurs à cliquer sur des liens malveillants. Les emails et messages de phishing sont souvent indiscernables des communications légitimes, rendant difficile pour les utilisateurs de distinguer le vrai du faux.
  • La surcharge d’informations et la fatigue de la sécurité : Les utilisateurs sont constamment bombardés de conseils de sécurité, ce qui peut entraîner une surcharge d’informations et une fatigue de la sécurité. Difficile pour eux de retenir et d’appliquer tous les conseils, en particulier sous la pression du temps ou dans des situations émotionnellement chargées.
  • Le manque de contexte et de pertinence : Les formations de sensibilisation à la sécurité sont souvent génériques et ne tiennent pas compte des besoins spécifiques des utilisateurs ou des menaces auxquelles ils sont les plus susceptibles d’être confrontés. Un email de phishing ciblant un employé des finances sera différent de celui ciblant un développeur, et les conseils doivent être adaptés en conséquence.
  • La fausse sensation de sécurité : L’article suggère que le simple fait de « dire » aux utilisateurs de faire attention peut leur donner une fausse sensation de sécurité, les rendant moins vigilants et paradoxalement plus susceptibles de cliquer sur des liens suspects. Ils pensent avoir les connaissances nécessaires, mais manquent de la pratique et de la vigilance nécessaire pour détecter les menaces réelles.
  • L’erreur humaine est inévitable : Même avec la meilleure formation, les humains sont faillibles. Un moment d’inattention, de stress ou de distraction peut suffire pour qu’un utilisateur clique sur un lien malveillant, causant des dommages potentiellement importants.

Implications et recommandations:

L’article du NCSC implique qu’il est nécessaire d’adopter une approche plus globale et multicouche de la cybersécurité. Les efforts ne doivent pas se limiter à la simple éducation des utilisateurs, mais inclure des mesures techniques et organisationnelles pour réduire le risque de clics sur des liens malveillants. Voici quelques pistes d’amélioration :

  • Développement de solutions techniques plus performantes : Améliorer les filtres anti-spam, les systèmes de détection des intrusions, les analyses de liens en temps réel et les solutions de sandboxing pour identifier et bloquer automatiquement les liens malveillants avant qu’ils n’atteignent les utilisateurs.
  • Formation axée sur la pratique et la simulation : Au lieu de se contenter de fournir des informations théoriques, les formations de sensibilisation à la sécurité devraient inclure des simulations de phishing réalistes et des exercices pratiques pour aider les utilisateurs à développer des compétences concrètes en matière de détection de menaces.
  • Personnalisation et contextualisation de la formation : Adapter le contenu de la formation aux besoins spécifiques des utilisateurs et aux menaces les plus pertinentes pour leur rôle et leur secteur d’activité.
  • Mise en place de mécanismes de signalement faciles et encourageants : Encourager les utilisateurs à signaler les emails et messages suspects, même s’ils ne sont pas sûrs qu’ils soient malveillants. Mettre en place des procédures de signalement simples et efficaces, et récompenser les utilisateurs qui signalent des menaces potentielles.
  • Renforcement des processus de validation et d’authentification : Mettre en place des processus de validation supplémentaires pour les actions sensibles, telles que les virements bancaires ou les modifications de mots de passe. Utiliser l’authentification à deux facteurs (2FA) pour renforcer la sécurité des comptes en ligne.
  • Adoption d’une culture de la sécurité : Promouvoir une culture de la sécurité au sein de l’organisation, où la sécurité est une responsabilité partagée et où les utilisateurs se sentent à l’aise pour poser des questions et signaler les problèmes.
  • Amélioration continue des stratégies de sensibilisation : Évaluer régulièrement l’efficacité des programmes de sensibilisation à la sécurité et les adapter en fonction des dernières menaces et des retours d’expérience des utilisateurs.
  • Collaboration entre les équipes de sécurité et les équipes de communication : Travailler en étroite collaboration avec les équipes de communication pour développer des messages de sécurité clairs, concis et engageants.
  • Focus sur la psychologie humaine : Comprendre comment les cybercriminels exploitent la psychologie humaine pour concevoir des attaques plus efficaces et adapter les stratégies de sensibilisation en conséquence.

En conclusion, l’article du NCSC souligne la nécessité de repenser les approches traditionnelles de la sensibilisation à la sécurité. Se contenter de dire aux utilisateurs « d’éviter de cliquer sur de mauvais liens » ne suffit plus. Il est essentiel d’adopter une approche plus globale et multicouche, combinant des solutions techniques performantes, des formations axées sur la pratique, une culture de la sécurité et une compréhension approfondie de la psychologie humaine. Ce n’est qu’ainsi que l’on pourra réduire efficacement le risque de clics sur des liens malveillants et protéger les individus et les organisations contre les cybermenaces.

Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas

L’IA a fourni les nouvelles.

La question suivante a été utilisée pour générer la réponse de Google Gemini :

À 2025-03-13 11:22, ‘Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas’ a été publié selon UK National Cyber Security Centre. Veuillez rédiger un article détaillé avec des informations connexes de manière compréhensible.


36

Post Views: 15

Laisser un commentaire