Les formations contre le phishing sont-elles encore utiles à l'ère de l'IA ?
L'étude "Pwning User Phishing Training Through Scientific Lure Crafting" menée par des chercheurs de l'Université de Chicago, de l'Université de Californie San Diego (UCSD) et de l'UCSD Health remet en question l'utilité des formations contre le phishing et ne démontre qu'un faible bénéfice. Richard Werner, conseiller en sécurité chez Trend Micro, commente cette conclusion.
Il faut arrêter de se rejeter la faute. Même si c'est impopulaire, la protection de l'entreprise reste la tâche du service de sécurité informatique. Les autres collaborateurs ne peuvent que jouer un rôle de soutien en identifiant à temps les e-mails dangereux. Cela ne va pas de soi et se produira de moins en moins à l'avenir - malgré la formation, comme le montre une étude récente. La sécurité informatique doit également fonctionner lorsque l'homme a un accident, tout comme pour une voiture. En effet, si un accident se produit et que l'homme n'est plus en mesure d'intervenir, des automatismes tels que les ceintures de sécurité ou les airbags assument la tâche importante d'atténuer l'impact du sinistre, exactement comme dans une voiture.
Qu'est-ce que cela signifie face à l'IA ?
Les IA, en particulier les LLM (Large Language Models), sont optimisées pour la communication machine-humain. Elles peuvent non seulement enchaîner les mots de manière pertinente, mais aussi imiter les styles d'écriture et de parole. Grâce à ce que l'on appelle le "prompt engineering", la programmation par l'entrée de commandes, pratiquement chaque utilisateur peut indiquer à la machine comment elle doit agir. Pour les victimes, il devient ainsi de plus en plus difficile de faire la différence entre une communication normale et une communication frauduleuse, l'IA réduit en outre les efforts et augmente la productivité.
Dans le domaine de la fraude, c'est dans le domaine des attaques ciblées que les efforts sont les plus importants. Un malfaiteur s'occupe alors de sa victime et tente de créer une attaque irrésistible à partir des informations disponibles. Dans le cas de ce que l'on appelle le "spear phishing", nous ne parlons pas d'accidents, car ils ne sont pas le fruit du hasard. Il s'agit d'attentats au sens large, et de leur taux de réussite, selon une autre étudeLe taux d'attaque est de plus de 50 %, même chez les experts purement humains. Ce type d'attaque est jusqu'à présent plutôt rare dans la réalité. Car la charge de travail nécessaire est considérable. Mais que se passe-t-il si l'IA prend le relais ? L'évaluation des données et la création d'un profil d'attaque se font alors de manière automatisée. Selon l'étude, cela aurait donné des résultats raisonnables dans 88 % des cas. Les contenus générés ne peuvent plus être distingués d'une communication normale.
Plus les solutions d'IA seront rapides et efficaces, plus elles seront également utilisées dans la cybercriminalité, et plus il sera rare que l'homme, en tant qu'élément de sécurité, le reconnaisse - quel que soit son degré de formation.
Comment aller de l'avant ?
La technique a toujours été le pendant de l'erreur humaine et a été conçue pour l'éviter ou du moins pour limiter les dommages qui en résultent. Dans le domaine de la sécurité informatique, les modules Zero Trust, Cyber Risk Exposure Management (CREM) ainsi que Detection and Response sont bien connus. Ces éléments réduisent le risque de survenance et l'impact des sinistres. Pour ces technologies et stratégies, l'origine de l'attaque et la raison pour laquelle elle n'a pas pu être évitée n'ont aucune importance. Ce sont, au sens figuré, les ceintures de sécurité et les airbags qui garantissent la survie en cas de sinistre. Si un collaborateur cliquant sur un lien est responsable du fait qu'une entreprise soit entièrement cryptée, ce n'est pas lui le problème, mais sa propre infrastructure de sécurité.
Conclusion : des formations sont-elles nécessaires ? Quand sont-elles utiles ?
Les formations sont coûteuses. Il ne faut pas seulement tenir compte du coût de l'introduction des processus, mais aussi de la charge de travail de chaque collaborateur. Il est donc légitime de s'interroger sur la valeur ajoutée. Celle-ci réside dans la réduction de la probabilité d'occurrence des cyberattaques. Jusqu'à présent, la formation était un élément important des stratégies de sécurité. Mais comme tout sans exception dans la sécurité, elle perd de son efficacité avec le temps. Cela ne signifie pas pour autant que cet élément devient immédiatement inutile. Tant que la sécurité informatique est saturée par le simple nombre d'événements individuels à contrôler, il faut des formations pour les réduire.
La formation contre l'hameçonnage est particulièrement importante lorsqu'il s'agit de la fraude elle-même et de l'identification des "red flags", comme la demande d'argent ou l'accès aux données de l'entreprise. Les collaborateurs doivent également comprendre pourquoi ils doivent suivre des processus de sécurité, par exemple l'authentification multifactorielle pour l'accès aux données, et comment les pirates tentent de les contourner. Oui, les formations restent importantes. Mais elles ne sont pas une excuse pour les incidents de sécurité. Stigmatiser la faute lorsqu'un collaborateur ne l'a pas reconnue ne sert à rien, car cela se produira plus souvent à l'avenir. Les entreprises devraient prendre des dispositions pour que, même en cas d'incident, l'impact reste limité.
Source : Trend Micro
