Comment Phishing Coach aide les entreprises à impliquer leurs collaborateurs dans la lutte contre la cybercriminalité

"Aujourd'hui, beaucoup trop de personnes pensent qu'un e-mail ne représente aucun danger. Ce n'est malheureusement plus vrai du tout ! rapporte Jean-Pol Dolata, directeur informatique chez Quality Assistance S.A., leader en sciences analytiques, Nous nous sommes rendu compte, avec l'expérience, que nous avions beau mettre en place des protections, certains e-mails réussissaient à passer malgré tout. Face à la sophistication de certaines attaques, il est devenu critique de nous assurer que nos collaborateurs sont sensibilisés à cette problématique et prennent conscience du risque qu'ils font courir à l'entreprise via l’ouverture d’un simple courrier électronique.”

Si on ajoute à cela le fait que les salariés se connectent de plus en plus de leur domicile en télétravail, le niveau de risque pourrait être plus élevé. Selon Jérôme Notin, directeur général de la plateforme cybermalveillance.gouv.fr, les tentatives de phishing ont enregistré une hausse de 400% lors du confinement au printemps dernier. Sans oublier, bien entendu, la question de l’image renvoyée au marché. “Nous sommes un acteur des nouvelles technologies, donc un acteur de confiance, témoigne Nicolas Coudert, Directeur Général de Codit France. Avoir un défaut de sécurité est inacceptable. D’autant plus par des personnes qui vont chez les clients réaliser des opérations d’architecture. Il s’agit donc de ne pas amener chez eux un risque supplémentaire !”

Un outil efficace et rapide à déployer

Il faut donc réussir à sensibiliser l’utilisateur. Mais comment ? Dans un contexte où les formations ont montré leurs limites, réduisant à 37% le nombre d’entreprises préparant leurs salariés à des cyberattaques, les organisations se sont retrouvées livrées à elles-mêmes. “Nous devions faire quelque chose. Nous devions réussir à auditer notre environnement, nos postes de travail et les interactions sur les plateformes. Savoir si nous appliquons les bonnes pratiques pour connaître notre surface d’attaque et nos réflexes, raconte Nicolas Coudert. Pris dans l'urgence, on peut ne pas faire attention. Au départ, je voulais que nous le fassions nous-mêmes, mais nous l’aurions probablement mal fait. Nous ne sommes pas des experts en sécurité. La sortie de Phishing Coach est vraiment arrivée au bon moment !”

Sortie début septembre, la solution de Mailinblack permet en effet de mettre en place des fausses campagnes de phishing hyper efficaces. En plus d’envoyer une note pédagogique aux utilisateurs piégés, la solution permet à l'organisation de piloter son niveau de maturité grâce à un benchmark réalisé avec les résultats d’autres acteurs du marché. “Nous avons scientifiquement cherché les moyens d’enseigner ce danger à l’utilisateur et à découvrir comment lui faire comprendre sur quels biais de décision jouent les pirates”, explique Thomas Kerjean, CIO de Mailinblack. Pour appréhender ce processus cognitif et émotionnel, les équipes du français Mailinblack se sont associées aux experts en neurosciences et en sciences de l’éducation du Laboratoire d'Informatique pour la Mécanique et les Sciences de l'Ingénieur (LIMSI-CNRS). “Au-delà de son efficacité, Phishing Coach nous libère également d’une charge de travail conséquente, se réjouit un RSSI au service d’un acteur de la santé. Nous avions réalisé une opération du genre en interne, mais sa mise en place nous avait pris près de 4 jours, là où Phishing Coach ne nous a plus consommé qu’une demi-journée.”

“Les utilisateurs se sentent désormais vraiment concernés”

Et les résultats sont là : “Après un mois de campagne, nous avons déjà eu un bon aperçu. Je sais que même un de nos experts s’est fait piéger, comme quoi nous sommes tous concernés !”, raconte un dirigeant. Si certains collaborateurs remontent la sensation de s’être fait piéger, ce qui est définitivement le cas, “ils sont cette fois vraiment sensibilisés au problème. C'est certain, affirme Jean-Pol Dolata. Ils sont maintenant plus vigilants face à ce type de pratiques. C'est constructif parce qu'ils se sentent concernés par le problème désormais. Reste à sensibiliser ceux qui ne se sont pas laisser berner la première fois !” Il faut en effet s’assurer que les utilisateurs ne soient pas passés au travers des mailles du filet parce que l’objet de la campagne de phishing ne les a pas concernés. “Le sujet de l’e-mail concernait l’accès en ligne aux fiches de paie. Alors forcément, les personnes qui sont dans la société depuis un certain temps savent qu'on ne fonctionne pas comme ça et se sont doutés d'un problème. En revanche, celles qui viennent d'être engagées se sont fait plus facilement avoir, précise Jean-Pol Dolata. Il faudra donc réorienter le sujet des prochaines campagnes afin de toucher d'autres personnes. Car cela dépend beaucoup du contexte dans lequel les gens se trouvent.” Pour tous, la prochaine étape est la mise en place de campagnes plus personnalisées avec des messages plus difficiles à identifier. Le recours à l’intelligence artificielle est également très attendu afin de définir automatiquement les campagnes en fonction de leur pertinence et de leur taux de pénétration dans l'entreprise. “Cette brique sera disponible très prochainement., confirme Thomas Kerjean. Nous sommes vraiment satisfaits de constater qu’avec Phishing Coach les entreprises disposent, enfin, d’une protection à 360° pour leur messagerie professionnelle !"

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Infopro Data pour Mailinblack à des fins de prospection commerciale. Elles sont conservées pendant 3 ans et sont destinées à Mailinblack. Conformément à la loi informatique et libertés, vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en écrivant à cnil@infopro-digital.com. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Infopro Data pour Mailinblack à des fins de prospection commerciale. Elles sont conservées pendant 3 ans et sont destinées à Mailinblack. Conformément à la loi informatique et libertés, vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en écrivant à cnil@infopro-digital.com. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Infopro Data pour Mailinblack à des fins de prospection commerciale. Elles sont conservées pendant 3 ans et sont destinées à Mailinblack. Conformément à la loi informatique et libertés, vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en écrivant à cnil@infopro-digital.com. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.