Blogs & actualité

Hameçonnage : Le fossé entre les connaissances et le comportement

De nombreuses personnes savent aujourd'hui comment reconnaître les courriels d'hameçonnage. Les connaissances sont donc souvent présentes. Toutefois, dans la pratique, il semble que 90 % des cyberattaques réussies soient encore dues à l'hameçonnage. Apparemment, nous disons une chose (nous savons comment reconnaître le phishing), mais nous faisons autre chose dans la pratique (nous continuons à tomber dans le panneau en masse). Dans le cas de l'hameçonnage, il y a donc un fossé entre les connaissances et le comportement.

Dans ce blog, vous découvrirez comment ce fossé entre les connaissances et le comportement peut se produire et comment vous pouvez le réduire.

09 jan

Le modèle de la triade pour le changement de comportement

De nombreuses campagnes sur l'hameçonnage se concentrent sur la transmission de connaissances sur les caractéristiques de l'hameçonnage. C'est essentiel, mais cela ne suffit pas à rendre les gens résistants au phishing. Pour ce faire, nous devons d'abord nous pencher sur ce que la science du comportement dit à propos de l'encouragement d'un comportement désiré. Le modèle de la triade de Poiesz (1996) identifie trois facteurs nécessaires pour inciter des personnes ou des groupes à agir :

  • La motivation : vouloir adopter un comportement
  • Capacité : aptitude à adopter un comportement
  • Opportunité : circonstances qui rendent le comportement possible

Dans sa théorie, Poiesz affirme qu'un comportement ne se produit que si un individu ou un groupe dispose d'un certain degré de motivation, de capacité et d'opportunité. Si l'un des facteurs est faible, le résultat global sera faible. Si l'un des facteurs n'est pas présent, le comportement n'aura certainement pas lieu, quel que soit le niveau des autres facteurs.

La motivation est l'incitation à adopter le comportement souhaité

La capacité concerne les connaissances d'une personne en matière d'hameçonnage. Ces connaissances sont enseignées par le biais de sessions de formation périodiques, de jeux et de tests sur la manière de reconnaître le phishing. L' « opportunité » est souvent bonne aussi. Cependant, ce qui fait souvent défaut, c'est la motivation. Or, selon la littérature, la motivation est un facteur clé pour stimuler un comportement désiré.

Nous savons donc souvent comment reconnaître le phishing, mais la mise en pratique de ces connaissances laisse souvent à désirer. Nous nous surprenons parfois à vérifier les e-mails entrants avec un peu moins d’attention pendant une journée de travail bien remplie.

Stimuler la motivation : faire découvrir le danger par une simulation d'hameçonnage

Pour motiver les gens à vérifier leurs courriels, il est important de leur montrer qu'ils peuvent facilement être victimes d'un hameçonnage et quelles en sont les conséquences. Pour ce faire, vous pouvez par exemple utiliser des simulations d'hameçonnage. Vous souhaitez également savoir si vos collègues vérifient les courriels pour détecter les caractéristiques du phishing et les sensibiliser aux dangers ? Envoyez alors une simulation d'hameçonnage.

Ce à quoi il faut faire attention dans les simulations de phishing

Mais attention ! Une simulation ponctuelle vous donne un aperçu de la situation actuelle. Sensibiliser au phishing, rendre les employés plus résistants aux attaques de phishing et continuer à stimuler la motivation nécessitent une approche structurelle qui va au-delà de la seule simulation. Nous recommandons donc de former les employés en continu et d'effectuer une simulation de phishing tous les deux mois.  

Pour en savoir plus sur les choses à faire et à ne pas faire en matière de simulation d'hameçonnage, cliquez ici.

Essayez gratuitement notre plateforme d'hameçonnage pendant 28 jours

Plus d'infos sur l'utilisation gratuite de notre plateforme de phishing ou demander votre accès gratuit ? Vous pouvez le faire via le bouton ci-dessous.

Commencez à hameçonner !

+33 (0)1 44 04 01 73 info@awaretrain.fr

Découvrez notre plateforme de sensibilisation à la cybersécurité

Plus d'infos

Lire la suite

Découvrez nos autres blogs et articles d'actualité.

5 étapes vers une culture de reporting sécurisée 14 nov
5 étapes vers une culture de reporting sécurisée pour une meilleure sécurité des données Plus d'infos
De la sensibilisation à la culture de la sécurité. 10 oct
De la sensibilisation à un environnement de travail cyber sécurisé et à une culture de la sécurité. Plus d'infos
John Ross Hunt ( responsable du produit Phish Insight) de Trend Micro 22 aoû
Entretien avec Trend Micro sur les évolutions en matière de sensibilisation à la sécurité. Plus d'infos
Voir tous les blogs