Dépassant le phishing: réévaluation de la formation de sécurité du système de santé

San Diego, 11 septembre 2025 – Les employés sont souvent le lien le plus faible en cybersécurité, non par choix, mais en raison de priorités concurrentes, en particulier dans des domaines exigeants comme les soins de santé. Cette vulnérabilité est précisément ce que les acteurs malveillants exploitent.

Une nouvelle approche de la formation en cybersécurité s’avère plus efficace pour le personnel de santé.

Les attaques de ransomware, comme exemple notable, peuvent réussir en un seul clic accidentel. Un changement de base dans l’état d’esprit est nécessaire, réalisable uniquement grâce à une éducation des utilisateurs robuste.

Dans toutes les industries, les décideurs informatiques reconnaissent que la formation inadéquate des employés présente un risque notable de cybersécurité. Un rapport récent a révélé que 31% des dirigeants informatiques considèrent que les employés insuffisants ou inefficaces ont formé une préoccupation majeure pour leurs stratégies.

Stimuler les défenses contre le phishing

à UC San Diego Healthcomme les autres campus de l’Université de Californie, la formation annuelle sur la cybersécurité est obligatoire, dispensée via un système de gestion de l’apprentissage. Ceci est complété par les simulations mensuelles de phishing.

Cependant, les efforts récents se sont concentrés sur une troisième composante de formation plus ciblée: des séances en personne spécifiquement adaptées à différents départements. Cette initiative découle d’une étude des employés de l’UC San Diego Health.

L’étude a révélé que la formation standard de sensibilisation à la sécurité annuelle ADN a simulé des attaques de phishing offrait un impact limité. Dans les exercices simulés, les utilisateurs formés n’ont montré qu’un progrès marginal, avec un taux de défaillance de 1,7% inférieur aux personnes non formées.

Reconnaissant cela, UC San Diego Health augmente les séances de formation en face à face. Ceux-ci sont menés en personne ou via des appels vidéo, avec du contenu personnalisé aux risques d’emploi uniques auxquels chaque département est confronté. Tels qu’un scénario pourrait impliquer un e-mail frauduleux d’un partenaire commercial apparemment légitime demandant les coordonnées bancaires sensibles pour un paiement de facture.

«Nous essayons de faire plus de ces séances en personne», explique un responsable impliqué dans l’initiative de formation. «Je pense que c’est de loin le moyen le plus efficace pour amener les gens à comprendre les risques.»

Tout en soulignant l’efficacité des personnalités, formation en personnela valeur des exercices de phishing simulé n’est pas rejetée. « Même si son marginal ou négligeable est encore une valeur de formation car, à tout le moins, il nous permet de continuer à avoir des conversations et à sensibiliser au personnel et aux professeurs tout au long de l’année », ajoutent-ils.

UC San Diego Health utilise une passerelle d’e-mail sécurisée pour inspecter les e-mails et bloquer le spam et le contenu malveillant. Ce système facilite également les simulations mensuelles de phishing.

Lorsqu’un employé clique sur un e-mail de phishing simulé, il est dirigé vers une clarification mettant en évidence les drapeaux rouges qu’il aurait dû remarquer. Cela renforce rapidement le processus d’apprentissage.

La couverture médiatique croissante des violations de données et les rencontres personnelles des individus avec des tactiques d’ingénierie sociale renforcent encore les efforts de formation officiels. Par conséquent, les employés transfèrent de plus en plus des courriels suspects à l’équipe de sécurité informatique, une pratique encouragée à la formation.

« Nous allons le regarder et vous donner un verdict », déclare officielle, faisant référence à l’examen des e-mails suspects signalés. «Nous n’allons jamais vous gifler au poignet. Nous allons vous féliciter d’être prudent.»