Recevez chaque jour toute l'actualité du numérique

x

Phishing : Mailinblack replace l’utilisateur au coeur de la lutte pour la protection des données

Publi-Rédactionnel Même alliée à l’Intelligence Artificielle la plus aboutie, la technologie, seule, a atteint ses limites en matière de barrage à l’hameçonnage en ligne. Trente ans plus tard, les attaques passent toujours. Le dernier rempart reste donc ... l’utilisateur. Encore faut-il lui donner les clés et prendre, enfin, le temps de comprendre ses mécaniques d’apprentissage. 
Phishing : Mailinblack replace l’utilisateur au coeur de la lutte pour la protection des données
Phishing : Mailinblack replace l’utilisateur au coeur de la lutte pour la protection des données
Aujourd’hui, les chefs d’entreprise font tous le même constat : les cyberattaques concernent tout le monde ! Si, en 2017, le rançongiciel (ransomware) Wannacry touchait essentiellement les grands comptes, l’an dernier, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) révélait qu’une TPE/PME sur deux était victime d’une fraude au Président. Ici, le pirate se fait passer pour un dirigeant et contacte un salarié pour demander l’exécution d’un virement bancaire. Autre exemple récent : “Nous sommes 150 dans notre entreprise et, la semaine dernière, nous avons été victime d’une tentative d’hameçonnage avec Emotet. Non seulement mes salariés ont reçu un mail, mais en plus ils ont été appelés !”, raconte ce dirigeant qui a souhaité garder l’anonymat.
 
Une hausse de 400 % des tentatives durant le confinement
 
Entre-temps, l’épisode Covid-19 est venu ajouter une dose de troubles supplémentaire. Durant le confinement, les entreprises ont en effet suréquipé leurs équipes pour transposer à leur domicile le poste de travail. Ordinateurs portables et outils collaboratifs en tous genre (tchat, partage de fichiers, visioconférences, etc.), se sont ainsi vu connectés depuis l’extérieur sur le système d’information. Des conditions totalement inédites. « Nous avons enregistré une augmentation de 400 % de tentatives de phishing la première semaine du confinement » constatait Jérôme Notin, directeur général de la plateforme cybermalveillance.gouv.fr. 
 
Les neurosciences pour une meilleure compréhension
 
Bref, le constat est sans appel : il fallait trouver une solution pour prévenir ces cyberattaques et tirer les leçons du passé. La technologie, à elle seule, a montré ses limites et ne suffit. Quant aux formations, ce n’est plus un secret, elles se sont révélées stériles. Aujourd’hui, à peine 37% d’entreprises déclarent préparer leurs salariés à des cyberattaques. Dans ce contexte, et après une longue phase de recherche, les chercheurs du français Mailinblack, spécialiste de la protection des messageries professionnelles, sont arrivés à la conclusion suivante : Dans son principe, l’hameçonnage crée une situation d’urgence à agir chez l’utilisateur. La seule solution est de comprendre les mécanismes cognitifs, émotionnels et comportementaux des utilisateurs pour les accompagner et les aider  à assurer leur propre protection et, in fine, celle de leur entreprise. Pour cela, ils se sont associés aux experts en neurosciences et en sciences de l’éducation du Laboratoire d'Informatique pour la Mécanique et les Sciences de l'Ingénieur (LIMSI-CNRS).
 
Le Nudge (l’incitation) comme moyen d’apprentissage
 
Alors, comment apprendre ce risque à l’utilisateur ? Comment lui faire comprendre sur quels biais de décision jouent les pirates ? C’est justement sur ce processus cognitif et émotionnel qu’ont travaillé les équipes de Mailinblack pour aboutir à la solution baptisée Phishing Coach. “D’abord, il y a la mémorisation qui est fonction de nos capacités émotionnelles et d’attention. Il y a ensuite un registre de motivation qui favorise l’apprentissage”, explique Laurence Devillers1 , professeure en Intelligence Artificielle au LIMSI-CNRS/Sorbonne et détentrice d’une chaire en IA à Saclay HUMAAINE (HUman-MAchine Affective Interaction & Ethics). Le réflexe émotionnel est souvent inconscient et son processus d’encodage de l'information différent des autres. “Nous avons étudié ce processus selon les biais cognitifs des utilisateurs et sur des typologies de prises de décision théorisées par Daniel Kahneman 2; et Richard Thaler3 , tous les deux prix Nobel d’économie comportementale en 2002 et 2017”, précise la chercheuse.
 
Mesurer sa résilience et piloter les campagnes de sensibilisation
 
Pour les dirigeants, directeurs informatique et responsables de la sécurité des systèmes d’informations (RSSI), Phishing Coach permet, au travers d’une console, de mettre en place des campagnes internes de phishing inoffensives… mais instructives et pédagogiques. D’une part, la solution permet d’envoyer aux utilisateurs tombés dans le piège, une explication de ce qui vient de se passer et donc de participer ainsi à l’ancrage mental du réflexe. D’autre part, la console permet à l'organisation de piloter son niveau de maturité à partir de mesures de vulnérabilité et de mises en contexte grâce à un benchmark réalisé avec les résultats d’autres acteurs du marché. Mailinblack dispose d’une surface de contact très large avec plus de 10.000 entreprises utilisatrices en France. Le pilotage se fait aussi dans le temps, puisqu’il est possible de voir et comprendre l'évolution du niveau de préparation de son organisation. Ceci permet de prouver l'efficacité des campagnes de sensibilisation en temps réel à l’intérieur de l'outil. On fait et on prouve le résultat. Pour que cela fonctionne, la récurrence est importante pour ancrer le réflexe et, en dessous d'une fréquence de 2 à 6 semaines, l'efficacité de l'apprentissage diminue drastiquement. “Nous avons appris au travers de nos recherches la fréquence de test à réaliser en fonction des types d’attaques et des types de profils pour concrètement régler le problème de la vulnérabilité!”, se réjouit Thomas Kerjean, CEO de Mailinblack. L’erreur reste certes humaine, mais l’important est de réussir à la réparer.
 
Profitez de l'offre de lancement de Phishing Coach et testez vos collaborateurs ! Rendez-vous sur Phishing Coach.
 
 
[1] Auteure de “Les robots émotionnels … et l’éthique dans tout cela ?”, 2020.
[2] Auteur de “Système 1/Système 2 : Les deux vitesses de la pensée” (Thinking, Fast and Slow), 2011.
[3]Auteur avec Cass Sustein de “Nudge” (qui se traduit par incitation), 2008.
 
Contenu proposé par MAILINBLACK
 
media