PME - Expliquer les pans de la cybersécurité
15 septembre 2023
Parce que... c'est l'épisode 0x358!
Teknik - Pentest cloud - Accès initial
22 août 2023
Parce que... c'est l'épisode 0x357!
Spécial - Réfléchir en liste ou réfléchir en graph
11 septembre 2023
Parce que... c'est l'épisode 0x356!
Spécial - Les formes d'entreprises (France et Canada) pour accueillir le freelance
16 juin 2023
Parce que... c'est l'épisode 0x355!
Teknik - Retour d'expérience - Google Next '23 (2e partie - les autres annonces)
14 septembre 2023
Parce que... c'est l'épisode 0x354!
Teknik - Kubernetes - Les API et le RBAC
30 mai 2023
Parce que... c'est l'épisode 0x353!
Spécial - Panel spectaculaire sur les voûtes de mot de passe
14 septembre 2023
Parce que... c'est l'épisode 0x352!
Juridik - Les autres obligations de la loi 25 (EFVP, nouveaux droits, nouvelles sanctions)
15 septembre 2023
Parce que... c'est l'épisode 0x351!
Teknik - Analyse d'un malware - Stuxnet
28 juin 2023
Parce que... c'est l'épisode 0x350!
Juridik - Lignes directrices sur le consentement des renseignements personnels (Loi 25)
08 septembre 2023
Parce que... c'est l'épisode 0x349!
Teknik - Retour d'expérience - Google Next '23 (1ère partie - Cloud Firewall Plus)
30 août 2023
Parce que... c'est l'épisode 0x348!
H'umain - Sensibilisation de l'utilisateur
27 juin 2023
Parce que... c'est l'épisode 0x347!
Spécial - Retour d'expérience - Blue Team Con 2023
03 septembre 2023
Parce que... c'est l'épisode 0x346!
Teknik - Regards sur la fuite de la clé MSA
23 août 2023
Parce que... c'est l'épisode 0x345!
Teknik - Les signaux, l'élément atomique d'analyse cybersécurité
21 août 2023
Parce que... c'est l'épisode 0x344!
Teknik - BeyondCorp Enterprise (ZTNA) - Pourquoi chez Google je n'utilise jamais de VPN, je n'installe jamais d'applications et je ne télécharge aucune donnée sur mon laptop
18 mai 2023
Parce que... c'est l'épisode 0x343!
Spécial - Démarche pour devenir un indépendant
02 juin 2023
Parce que... c'est l'épisode 0x342!
Teknik - Introduction aux tests d'intrusions infonuagique
21 juin 2023
Parce que... c'est l'épisode 0x341!
PME - Mot de passe "all in"
09 juin 2023
Parce que... c'est l'épisode 0x340!
Teknik - Kubernetes - Introduction au container
30 mai 2023
Parce que... c'est l'épisode 0x339!
Spécial - Retour d'expérience - DEFCON 31
13 août 2023
Parce que... c'est l'épisode 0x338!
Teknik - La sécurité en infonuagique... pourquoi devons-nous la payer en plus?
17 avril 2023
Parce que... c'est l'épisode 0x337!
Teknik - M365 Copilot et retour sur le White/Grey/Black box
26 juin 2023
Parce que... c'est l'épisode 0x336!
Curieux - La protection des données personnelles en 100 Questions/Réponses (Chapitre 6)
05 mai 2023
Parce que... c'est l'épisode 0x335!
Juridik - Gestions des tiers
02 mai 2023
Parce que... c'est l'épisode 0x334!
Teknik - M365 DLP part 2 (poste de travail)
30 mai 2023
Parce que... c'est l'épisode 0x333!
Teknik - M365 DLP part 1 (cloud seulement)
09 mai 2023
Parce que... c'est l'épisode 0x332!
Spécial - Saine relation avec les cloudeurs
03 mars 2023
Parce que... c'est l'épisode 0x331!
PME - Utilisation d'appareils personnels au travail (BYOD)
01 mai 2023
Parce que... c'est l'épisode 0x330!
H'umain - Test de phishing... ou comment tout le monde se fait prendre!
26 avril 2023
Parce que... c'est l'épisode 0x329!
Parce que… c’est l’épisode 0x329!
Shameless plug
- 10 au 13 août 2023 - DEFCON
- 29 au 31 août 2023 - Google Next ‘23
- 21 au 23 novembre 2023 - European Cyber Week
- février 2024 - SéQCure
- Formation Crise et résilience
Description
Le podcast explore le sujet des tests de phishing dans les organisations. Stéphane et l’animateur discutent des avantages et des inconvénients de ces tests.
Dans le secteur professionnel actuel, ces tests sont souvent réalisés en envoyant des e-mails génériques à partir d’un outil spécifique afin de sensibiliser les employés aux dangers du phishing. Cependant, les animateurs notent que cette approche a tendance à créer une paranoïa supplémentaire sans nécessairement réduire le nombre de clics sur de véritables courriels malveillants.
Une critique majeure de ces tests est qu’ils tendent à se baser sur des campagnes synthétiques qui ne reflètent pas les véritables menaces auxquelles les employés sont confrontés. Cela crée une situation où les employés sont formés pour identifier des menaces qui ne sont pas réellement pertinentes, ce qui peut, dans certains cas, conduire à une surcharge de travail pour les équipes de sécurité.
Ils soulèvent également le problème de la désensibilisation. En organisant fréquemment ces tests, les employés peuvent devenir moins vigilants, considérant ces alertes comme des routines plutôt que des menaces potentiellement sérieuses. Par conséquent, la pratique actuelle de sensibilisation au phishing a tendance à ne pas améliorer réellement la sécurité et peut même augmenter les risques en réduisant la vigilance des employés.
Les hôtes suggèrent que pour être vraiment efficaces, les programmes de sensibilisation au phishing devraient être accompagnés d’un soutien technologique qui peut aider à signaler les courriels suspects et encourager les employés à réfléchir deux fois avant de cliquer sur un lien. Des mesures préventives pourraient également être mises en place, comme des retards dans le chargement des liens pour donner aux employés le temps de réfléchir avant d’ouvrir potentiellement des contenus malveillants.
Ils insistent sur l’importance de favoriser une culture où les employés se sentent capables de signaler des incidents sans crainte de répercussions négatives. De plus, les organisations devraient chercher à éduquer les employés sur les actions à entreprendre en cas de clic sur un lien malveillant, y compris changer leurs mots de passe et signaler l’incident.
Enfin, les animateurs soulignent que même les experts en sécurité peuvent être victimes de phishing et ils partagent leurs propres expériences à cet égard, soulignant que personne n’est à l’abri. Il est donc primordial de développer une vraie compétence et non juste partager une information générale.
Dans l’ensemble, le podcast met en avant que les tests de phishing tels qu’ils sont actuellement menés sont largement inefficaces et potentiellement contre-productifs. Il appelle à une refonte de ces programmes pour mieux éduquer les employés sur les véritables risques et sur les mesures à prendre pour assurer la sécurité de leurs données et celles de l’organisation.
Notes
- À venir
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: hameconnage, humain, phishing, sensibilisation, spearphishing
Tweet