La formation à la détection de phishing s’estompe après 6 mois

La formation à la détection de phishing s'estompe après 6 mois

L’efficacité des programmes de sensibilisation à la sécurité informatique et au phishing s’estompent avec le temps, et les employés doivent être formés à nouveau après environ six mois, selon un document présenté lors de la conférence sur la sécurité d’USENIX SOUPS le mois dernier.

L’objectif de ce document était d’analyser l’efficacité de la formation sur le phishing dans le temps. Profitant du fait que les organisations du secteur de l’administration publique allemande doivent suivre des programmes obligatoires de formation à la sensibilisation au phishing, des universitaires de plusieurs universités allemandes ont interrogé 409 des 2 200 employés de l’Office d’État pour la géoinformation et les enquêtes de l’État (SOGSS).

Les chercheurs ont testé l’efficacité de la formation sur le phishing au fil du temps, avec des tests périodiques à intervalles réguliers, afin de déterminer à quel moment les employés du SOGSS perdraient leur capacité à détecter les courriels de phishing.

Les employés ont été répartis en plusieurs groupes et ont été testés respectivement pendant quatre, six, huit, dix et douze mois, après avoir suivi une formation sur le phishing. L’équipe de recherche a constaté que si les personnes interrogées étaient capables d’identifier correctement les e-mails de phishing même après quatre mois suivant la formation initiale, ce n’était plus le cas après six mois et au-delà, une nouvelle formation étant recommandée.

publicité

La vidéo et la formation interactive sont les plus efficaces

Les chercheurs ont également mis au point leurs propres “rappels” afin de “relancer la sensibilisation et les connaissances des employés en matière de phishing”. Ils ont utilisé ces rappels pour reformer les employés après leur enquête, puis six et douze mois plus tard.

“Nous en avons développé quatre différents”, ont déclaré les universitaires. “Quatre mesures de rappel ont été distribuées à quatre groupes (un par groupe) : (a) texte, (b) mesure vidéo, (c) exemples interactifs, et (d) un court texte.

“Douze mois après le tutoriel, nous avons comparé la rétention des connaissances des quatre groupes de rappel […]. Parmi les quatre mesures de rappel, la vidéo et les exemples interactifs ont obtenu les meilleurs résultats, leur impact ayant duré au moins six mois après avoir été déployées”.

Les universitaires ont conclu que si la formation des employés à la détection des courriels de phishing peut aider les organisations à repousser certaines attaques, cette formation doit être cyclique, avec des sessions de formation répétées, de manière optimale tous les six mois et en utilisant des mesures de formation interactives ou vidéo. Des détails supplémentaires sur le travail de l’équipe de recherche sont disponibles dans un document intitulé “Une enquête sur la sensibilisation et l’éducation au phishing au fil du temps : Quand et comment rappeler les utilisateurs“. [PDF ici ou ici].

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *