Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas, UK National Cyber Security Centre

par

Pourquoi dire aux utilisateurs d’éviter les liens malveillants ne suffit toujours pas : Un regard sur l’article du NCSC britannique

Le 13 mars 2025, le National Cyber Security Centre (NCSC) britannique a publié un article de blog percutant intitulé « Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas ». Cet article, malheureusement, confirme une vérité que les professionnels de la sécurité informatique connaissent depuis longtemps : la formation de sensibilisation à la sécurité, bien qu’essentielle, ne suffit pas à elle seule à se protéger contre les attaques de phishing et les liens malveillants.

Le problème fondamental : la nature humaine

L’article met en lumière le défi permanent de compter uniquement sur la sensibilisation des utilisateurs pour déjouer les cybercriminels. Voici quelques points clés expliquant pourquoi cette approche est intrinsèquement limitée :

  • La surcharge cognitive : Les utilisateurs sont bombardés d’informations quotidiennement, et l’attention qu’ils peuvent accorder à chaque lien qu’ils rencontrent est limitée. Dans un environnement de travail rapide et sous pression, les erreurs sont inévitables.
  • L’ingénierie sociale sophistiquée : Les attaques de phishing modernes sont incroyablement sophistiquées. Les emails imitent parfaitement les communications légitimes, exploitant des sentiments d’urgence, de peur ou de curiosité pour inciter les utilisateurs à cliquer avant de réfléchir.
  • Le « changement de culture » est difficile et long : Changer les comportements des utilisateurs est un processus lent et complexe. Même avec une formation régulière, les habitudes sont difficiles à briser, et la vigilance constante est un fardeau.
  • Le faux sentiment de sécurité : La formation peut donner aux utilisateurs un faux sentiment de sécurité, les rendant plus susceptibles de sous-estimer les menaces potentielles et de commettre des erreurs.

Au-delà de la sensibilisation : une approche multicouche

Le NCSC ne suggère pas d’abandonner la formation de sensibilisation. Au contraire, l’article souligne la nécessité d’une approche de sécurité multicouche, combinant la formation avec des mesures techniques et organisationnelles robustes :

  • Solutions techniques :
    • Filtres anti-spam et anti-phishing : Ces filtres analysent les emails entrants pour identifier et bloquer les messages suspects avant même qu’ils n’atteignent la boîte de réception de l’utilisateur.
    • Analyse de liens et bacs à sable : Les solutions d’analyse de liens vérifient la sécurité des URL avant qu’un utilisateur ne clique dessus, et les environnements de bac à sable exécutent le code potentiellement malveillant dans un environnement isolé pour éviter d’infecter le système.
    • Authentification multifactorielle (MFA) : Même si un utilisateur tombe victime d’une attaque de phishing et divulgue son mot de passe, l’authentification multifactorielle ajoute une couche de sécurité supplémentaire, rendant l’accès non autorisé plus difficile.
    • Surveillance et détection des intrusions : Les systèmes de surveillance surveillent en permanence le réseau pour détecter les activités suspectes et alerter les équipes de sécurité en cas d’anomalie.
  • Mesures organisationnelles :
    • Politiques de sécurité claires et concises : Les organisations doivent établir des politiques de sécurité claires et concises qui définissent les attentes en matière de comportement des utilisateurs et les risques potentiels.
    • Simulations de phishing régulières : Effectuer des simulations de phishing régulières permet de tester l’efficacité de la formation et d’identifier les utilisateurs les plus vulnérables.
    • Plan de réponse aux incidents : Un plan de réponse aux incidents bien défini permet à l’organisation de réagir rapidement et efficacement en cas de compromission.
    • Culture de la sécurité : Encourager une culture de la sécurité où les employés se sentent à l’aise de signaler les activités suspectes et de poser des questions sans crainte de représailles.

Les conclusions de l’article et leur signification:

L’article du NCSC souligne que la sécurité informatique ne peut plus être considérée comme la seule responsabilité des utilisateurs. Les organisations doivent assumer la responsabilité de la protection de leurs employés et de leurs données en mettant en place une défense en profondeur qui combine la formation, la technologie et la culture.

En résumé, voici les points essentiels à retenir:

  • La formation de sensibilisation à la sécurité est importante, mais insuffisante.
  • Les attaques de phishing sont de plus en plus sophistiquées et difficiles à détecter.
  • Une approche multicouche est nécessaire pour protéger les utilisateurs et les données.
  • Les organisations doivent investir dans des solutions techniques, des politiques et une culture de la sécurité robustes.

L’article du NCSC britannique est un rappel important que la sécurité informatique est un défi constant et en évolution. En adoptant une approche proactive et multicouche, les organisations peuvent réduire considérablement leur risque d’être victimes de cyberattaques. Ne pas le faire revient à compter uniquement sur la chance, une stratégie loin d’être sécuritaire.

Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas

L’IA a fourni les nouvelles.

La question suivante a été utilisée pour générer la réponse de Google Gemini :

À 2025-03-13 11:22, ‘Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas’ a été publié selon UK National Cyber Security Centre. Veuillez rédiger un article détaillé avec des informations connexes de manière compréhensible.


36

Post Views: 18

Laisser un commentaire