Tous les grands groupes, et encore plus ceux du secteur financier, déploient des formations à l'intention de leurs collaborateurs afin de les sensibiliser aux risques de cybersécurité. Or une étude de l'université de San Diego, portant spécifiquement sur les programmes de lutte contre le hameçonnage, révèle qu'ils ont un impact quasiment nul.
La cible retenue n'est pas choisie au hasard puisque le « phishing » (pour reprendre son appellation d'origine) constitue aujourd'hui le principal vecteur des cyberattaques dans le monde. Et ce qui étonne immédiatement avec la présentation des travaux de l'équipe qui appartient à la division dédiée à la santé dans l'établissement public est qu'elle ne serait que la deuxième, à date, à se pencher sur les effets véritables des démarches pédagogiques de lutte contre un fléau aussi ancien que dévastateur.
Tous ceux qui travaillent, salariés ou contractuels, au sein d'une entreprise importante connaissent ces modules éducatifs, qu'ils sont contraints de suivre à intervalles réguliers, souvent avec réticence. Dans les structures un peu plus créatives, ce sont aussi parfois des simulations de courriels piégés qui sont envoyés, aboutissant à une piqûre de rappel contextuelle sur les conséquences potentiellement graves de leur inattention. Et bien ces méthodes n'ont aucune influence sur les comportements.
Plus précisément, quand les chercheurs analysent scientifiquement, sur un échantillon de 19 500 personnes (les salariés de l'université, en l'occurrence), les taux de réponse à des tentatives de hameçonnage, la différence entre ceux qui ont bénéficié d'une formation et les autres est de 2%, presque dans la marge d'erreur statistique. En outre, la performance se dégrade rapidement dans le temps : en quelques mois, les réflexes minimaux de prudence éventuellement acquis se sont définitivement évaporés.
Une raison majeure de cette inefficacité patente serait le manque d'engagement des participants dans les campagnes de prévention et les matériels pédagogiques mis à leur disposition. L'enquête démontre, par exemple, que trois quarts des individus interrogés passent moins d'une minute à les consulter. Et je soupçonne, que même quand un contrôle a posteriori rend obligatoire de passer plus de temps sur les contenus, à contre-cœur, leur appropriation effective n'est pas beaucoup plus élevée.
Les auteurs déduisent de ces constats que les approches par l'éducation sont futiles, surtout quand on prend en compte les coûts qu'elles représentent, et suggèrent donc que la seule solution viable serait technologique. Ils mentionnent notamment des protections avancées sur les systèmes d'identification et d'authentification pour réduire le danger en cas d'attaque réussie. Pour ma part, je considère que ce niveau de réponse, indispensable, ne pourra jamais suffire face à la sophistication toujours croissante des cybercriminels. Il faudrait donc revoir en profondeur les modèles pédagogiques traditionnels pour les rendre pertinents et adaptés aux audiences de notre époque.
Actualité repérée grâce à DCOD (merci Marc !)
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)