Ingénierie Sociale
Dans un monde où la cybersécurité est devenue une préoccupation majeure pour les organisations, l’ingénierie sociale représente l’une des menaces…
A l’aide d’un programme de sensibilisation au phishing
basé sur l’apprentissage par l’action,
créé sur mesure pour chaque utilisateur
et animé sur la durée sans intervention de votre part
AUDIT DE VULNÉRABILITÉ
évalue en situation réelle le NIVEAU DE MATURITÉ de chacun de vos utilisateurs face à une ATTAQUE par PHISHING !
BOUTON ALERTE PHISHING
CENTRALISE les attaques évitées.
Outil de management du RISQUE CYBER
en temps RÉEL.
APPRENTISSAGE PAR L’ACTION
une PÉDAGOGIE innovante pour développer des RÉFLEXES de cybersécurité
face au PHISHING.
Mise en situation constituées de mails d’apprentissage adaptés à leur niveau de vigilance
Modules de formation
accessibles en ligne
sur les risques cyber
et les réflexes à acquérir
Apprentissage par l’expérience, sensibilisation immédiate en cas de clic malencontreux
Prônant
les bonnes pratiques avec les contacts de vos services informatiques
Sur-mesure
pour chaque utilisateur augmente la cybersécurité globale de l’organisation
Collectivités
10 400 utilisateurs
Assurance
6 500 utilisateurs
Groupe Automobile
1 900 utilisateurs
Centre Hospitalier
5 500 utilisateurs
Enseignement Supérieur
44 000 utilisateurs
Agroalimentaire
6 000 utilisateurs
Clinique Privée
2 000 utilisateurs
PME
6 000 utilisateurs
« Parce que l’humain
est au cœur de la
Cybersécurité ! »
Notre solution est autonome, non intrusive et ne nécessite aucune modification de votre infrastructure technique.
Confiez-nous cette responsabilité et laissez vos équipes se concentrer sur des tâches à plus haute valeur ajoutée.
Découvrez les spécificités d’Avant de Cliquer en cliquant sur le secteur concerné.
Les solutions de sensibilisation anti-phishing Avant de Cliquer sont référencées UGAP et CAIH.
Lors de l’événement Ready For IT , Pascal Olivier a partagé comment notre solution renforce la sécurité du Département des Deux-Sèvres contre les attaques par Phishing. Nous sommes fiers de contribuer à la protection de leurs employés et de leurs informations confidentielles. 🔒🎣
Ne laissez pas le phishing compromettre votre organisation ! Découvrez comment Avant de Cliquer peut vous aider à protéger votre organisation et à renforcer la vigilance de vos équipes contre les menaces en ligne.
(Recueilli en mai 2021 par un journaliste indépendant)
Responsable de la sécurité des systèmes d’information au sein d’un Conseil Départemental en métropole, Gautier se dit très satisfait des prestations proposées par “Avant de Cliquer”. Il vient d’ailleurs de “re-signer” pour un an.
“Plus de 3 000 collaborateurs utilisant des données informatiques, échangeant avec des usagers, des prestataires, des associations, engageant des contrats… Notre Conseil Départemental gère des données très sensibles qu’il faut protéger, assurément”. Responsable de la sécurité des systèmes d’information d’un Conseil Départemental, Gautier présente ainsi le décor de son activité, au sein de la direction des systèmes d’information. Et il mesure le chemin parcouru en un peu plus d’un an, “le nombre de collaborateurs cliquant sur des liens à risque potentiel étant passé de 26% à 5% en un an. En somme, 95% sont déjà rompus aux bonnes pratiques” face au phishing.
Enfance, personnes âgées, personnes handicapées, prestations légales d’aides sociales, construction et entretien des collèges…, autant de prérogatives qui sont l’apanage des Conseils Départementaux, et qu’il faut évidemment encadrer, sécuriser. “Les différents services gèrent et traitent des données financières, médicales, voient passer des casiers judiciaires dans le cadre de la protection de l’enfance, lancent des appels d’offres. Il y a donc potentiellement beaucoup de risques pour les fichiers et les systèmes d’information, argumente Gautier.
Le plus gros risque aujourd’hui pour les systèmes d’information, c’est le cyber risque lié au phishing. On sait que 80% des attaques avec demande de rançon se passent par le biais d’un phishing, entre lien malveillant dans un mail, pièce jointe contaminée, etc.”
Des outils de détection dépassés, des mails très douteux à éliminer
Avant de recourir à l’entreprise “Avant de Cliquer”, les services de Gautier ont déployé toute une suite d’outils (filtres anti spam, firewall) qu’ils qualifient “de plus en plus intelligents” mais qui, ajoute-t-il, “sont vite arrivés à leur limite. Au demeurant, on n’a pas forcément mis assez le doigt sur l’intelligence individuelle et collective des usagers des systèmes informatiques”. Pas de demande de rançon jusque-là au sein de la collectivité, mais “des quantités de mails reçus laissant croire qu’ils viennent de notre direction informatique, d’un prestataire qui vend une solution, d’une entreprise ou d’une association avec laquelle on travaille, liste Gautier. Il peut y avoir des attaques de masse qui ont moins de chance de passer, d’autres plus fines qui passent. Il fallait donc aller plus loin dans la protection générale des données, des systèmes”.
Avec en tête les cyberattaques contre des métropoles depuis un an, et les CHU également, le dirigeant revendique une sensibilisation sur le sujet. “Je travaillais auparavant dans une structure où les besoins en sécurité étaient très forts. Une fois arrivé au Conseil Départemental, j’ai commencé par une analyse des risques pour déterminer où se situaient les plus importants, pour me rendre compte rapidement qu’ils sont dans l’usage de la messagerie. Or, ce qui est très souvent oublié, c’est la sensibilisation des utilisateurs. Encore une fois, les outils techniques ne sont pas une fin en soi : le dessous de l’iceberg – la sensibilisation -, est oublié par les DSI. D’où l’idée de sensibiliser l’ensemble de nos utilisateurs avec une entreprise extérieure.
Au bout d’un an d’accompagnement, on sait à quoi ressemble une attaque par phishing
Ne pas ouvrir un lien sans faire attention, sans maîtriser l’impact potentiel, sans se rendre compte du risque… “Au bout d’un peu plus d’un an d’accompagnement par l’entreprise rouennaise, on sait vraiment à quoi ressemble une attaque, ne serait-ce que par des fautes d’orthographes qui doivent alerter, tout comme un lien pointant vers un site web inconnu, poursuit le responsable. On a démarré par un audit des pratiques des utilisateurs; on leur a proposé du e-learning sans qu’il ait un caractère obligatoire. En revanche, les exercices de phishing sont incontournables, tous les agents en reçoivent”.
Au bout d’un an, 95% des utilisateurs du Conseil Départemental sont déjà sensibilisés. “En clair, si on adresse une série de mails malveillants à l’ensemble de nos 3000 collaborateurs, 5% seulement cliquent, donc 95% sont sensibilisés, dûment avertis. Tout cela grâce aux exercices qu’Avant de Cliquer nous propose. Qui plus est, la solution nous permet, en fonction des différents métiers, de voir qui clique le plus souvent. Alors, on adapte nos campagnes de sensibilisation, on prend une journée ou deux pour une prise en charge particulière des services concernés”.
Du temps optimisé pour le dirigeant
Avantage aussi pour le dirigeant: le temps est optimisé. “Ce qui m’a plu, sachant que je manque de temps, c’est qu’on m’a proposé une solution clef en main. J’ai investi un minimum de mon temps (5 ou 6 jours peut-être), tout en étant très bien accompagné. Le produit permet d’avoir un tableau de bord pour connaître le niveau de sensibilisation des collaborateurs”. Des collaborateurs dont Gautier apprécie l’adhésion. “Franchement, en matière de clics intempestifs, de risque, on était dans le rouge. Aujourd’hui, on est à l’entrée du vert. Avant, on ne faisait que de la sensibilisation par Intranet, avec des articles sur les bonnes pratiques préconisées. C’est bien, mais ça n’est pas vu par tout le monde. Surtout, il n’y avait pas d’exercices d’évaluation. On n’avait fait qu’un petit morceau du travail. J’ai vu les choses évoluer très favorablement depuis le recours au prestataire. Il faut aussi sensibiliser les nouveaux agents, il faut aller de l’avant car les attaques se multiplient”.
Le responsable de la sécurité des systèmes d’information entend élargir la sensibilisation des agents du Département sur d’autres domaines que le phishing, comme les mots de passe, le verrouillage des PC… “Avant de Cliquer” a les compétences pour ça. J’imagine bien des webinaires, des vidéos sur d’autres risques de sécurité. Ils sont très bons dans les contenus proposés”.
(Recueilli en juillet 2021 par un journaliste indépendant)
Dans une ville des Hauts-de-France, Hervé a en charge les systèmes d’information. Victime régulièrement de mails malveillants, il devait réagir. Les campagnes de faux mails s’enchaînent et il travaille sur l’assiduité des 500 collaborateurs utilisateurs et transmetteurs d’informations.
Directeur des systèmes d’information d’une ville de 30 000 habitants dans les Hauts-de-France, Hervé est un féru d’informatique, rôdé aux questions de cybersécurité. Depuis son BTS informatique en poche, il a évolué de technicien d’information à directeur des systèmes d’information, poste qu’il occupe depuis cinq ans.
« Une ville, c’est énormément de données qui couvrent énormément de domaines, entre ceux des collaborateurs et ceux des administrés. Il faut imaginer que nous touchons aux informations de l’état civil, de la petite enfance, de la jeunesse, des élections, du recensement…, liste le chef de service. On est au coeur de l’administration, de la vie des gens. Et c’est autant d’éléments à protéger, forcément ».
Les utilisateurs ouvrent les portes
Averti, Hervé met en place des anti spam contre le hameçonnage, des antivirus sur tous les postes de travail de ses collaborateurs qui sont près de 500. « Mais on s’est vite aperçu qu’on avait beau faire pour contrer les attaques, des intrus arrivaient à ouvrir les portes. Ou plutôt, ce sont les utilisateurs eux-mêmes qui ouvraient ces portes ! » Du coup, d’une réflexion à l’autre, le chef des systèmes d’information se dit que « le plus important, c’est bien de sensibiliser les utilisateurs au premier chef, plutôt que de multiplier les systèmes de sécurité… Car au final, c’est bien l’utilisateur qui clique sur le lien, sur la pièce jointe, donnant accès aux pirates ».
Sa ville a déjà reçu des mails malveillants, été victime d’hameçonnage, reconnaît-il. « Il peut s’agir de sociétés, de prestataires extérieurs qui nous appellent, nous adressent des spams, des mails de phishing. Mais on ne lâche rien, surtout pas de rançon ! Au passage, sachez qu’il nous faut aussi sensibiliser les élus avec qui c’est un peu plus compliqué.«
Relancer, expliquer, convaincre
L’assiduité, c’est le maître-mot, le lien où appuyer quand des personnes se sont fait piéger. « C’est précisément ce sur quoi on insiste avec Avant de cliquer, une entreprise rencontrée en parcourant au mois de janvier 2020 un salon de la cybercriminalité à Lille. Nous avons bien discuté sur place. Et dans la foulée, elle m’a envoyé des informations tandis que se pointait cette vaste période de pandémie, avec le confinement, le télétravail conjugués avec des problèmes de cybersécurité ».
Avant de cliquer propose « une partie pédagogie très intéressante, avec un audit puis un envoi de faux mails », détaille Hervé qui se retrouve « avec des personnes se faisant avoir. Même avec seulement 20 % de taux de mauvais clics, des failles s’ouvrent, des hameçonnages sont à nos portes. Alors ce qui est important, c’est la pédagogie encore une fois, le fait de pouvoir expliquer aux personnes pourquoi elles se sont fait avoir ».
La perception est bonne
Débutée en juin 2020, la campagne de mails orchestrée par Avant de cliquer est adressée à tous les collaborateurs de la ville. « Nous avons communiqué sur le caractère obligatoire de l’opération, mais nous sommes en train, toujours, de travailler sur l’assiduité. Pour les personnes qui se font piéger, quel est le taux de suivi de la formation ? Il faut tout décrypter, pour mieux réagir ».
Au début, rapporte Hervé, « 20 % de clics n’auraient pas dû l’être. Et maintenant, nous sommes au printemps 2021, on est descendu à 5 %. Suite à la fausse campagne, les gens qui se sont fait avoir se sont vu proposer une formation. Aujourd’hui, globalement, je dirai que la perception est bonne. Beaucoup de personnes nous renvoient les mails en nous posant des questions sur le fait qu’elles ont des doutes : comportent-ils un risque ou non ? Il faut maintenant travailler avec les collaborateurs pour qui le risque de cybercriminalité n’est pas automatique, pour qui ça passe au second plan. Ca va aussi leur servir au niveau personnel, dans leur vie de tous les jours. C’est un apprentissage des usages, avec un PC ou un téléphone maison ».
De quoi demain sera fait ? « On a commencé à travailler sur le phishing par SMS. C’est assez répandu, mais bizarrement, les gens se font moins avoir, constate le chef de service. Les taux de clics intempestifs sont moins importants. Nous avons par ailleurs en perspective tout ce qui est test d’intrusion, en faisant tester notre sécurité pour connaître nos failles, ne serait-ce que sur notre réseau de wifi public ».
A la tête de la sécurité des systèmes d’informations dans un centre hospitalier normand, Hervé apprécie l’approche sensibilisation proposée par « Avant de Cliquer », et l’attaque du « premier canal d’infection qu’est le mail ».
Plus de 5000 collaborateurs utilisateurs de données, recourant à l’informatique, à des logiciels très divers. Des fichiers et des dossiers patients, des éléments d’information sur les traitements, l’administration de médicaments, sans oublier les données personnelles des collaborateurs… « Un centre hospitalier est une véritable ruche d’informations. L’attaquer, c’est s’en prendre potentiellement à la santé des patients. Ce dont il faut absolument nous préserver », assure Hervé, responsable de la sécurité et des systèmes d’information au sein d’un centre hospitalier normand.
Hervé répète qu’il est toujours en veille, à l’écoute de son environnement, des infos également. « Il suffit de penser à la problématique des numéros d’urgence qui n’ont pas fonctionné en France durant 24 heures, avec cinq décès imputés car les familles n’ont pu appeler les urgences. Le fait d’un opérateur téléphonique ? Un focus est fait sur un logiciel qui a été défaillant. Quel que soit le résultat de l’enquête, il faut toujours se dire qu’un tel événement peut être occasionné par un acte malveillant. On verra si c’est le cas ou non. En tout cas, se préparer à une telle éventualité est forcément important ».
« Je suis toujours sur mes gardes »
Pour un établissement comme un centre hospitalier, avec de gros enjeux en matière de cybersécurité, une culture personnelle est quasi nécessaire. Hervé, avant de connaître « Avant de Cliquer », nourrissait déjà une grande curiosité pour la prévention. « Normal, j’ai travaillé dans un centre d’appels, j’ai été responsable qualité et processus, responsable de production. J’ai une formation en génie mathématique et en informatique industrielle. Ma culture personnelle est plutôt technique, et j’ai intégré la sécurité des systèmes dans mon approche dès la fin des années 1990. C’est devenu une composante de mes fonctions, et j’ai même rejoint un un collègue qui a monté sa boîte dans le domaine de la sécurité informatique. Donc, je suis un peu rôdé ! »
Mais Hervé revendique d’être toujours sur ses gardes. « Même des profs d’informatique, chez eux, sont sujets à des dysfonctionnements, voire des attaques. Au centre hospitalier, ce qui nous inquiète le plus, ce sont les cryptovirus. On a affaire à des gens qui font de la collecte de données (phishing) ; données qui peuvent être vendues à d’autres acteurs. On a affaire à des gens qui infiltrent les systèmes, à d’autres qui organisent un assaut. Au CHU de Rouen, c’est ce qu’il s’est passé récemment ».
« Comme si quelqu’un changeait votre serrure… »
Pour le responsable de la sécurité et des systèmes d’information, les enjeux sont importants en milieux hospitaliers « qui sont en train de se digitaliser, de s’informatiser, mais restent en retard par rapport à d’autres secteurs comme la banque. Certes, un rattrapage s’opère depuis 2002, avec une transformation numérique en cours. Les nouveaux outils permettent la traçabilité, l’intégrité des données. On se retrouve avec des serveurs spécialisés : dans les labos, en radiologie, en bloc opératoire, chacun avec ses spécificités. On retrouve une multitude de données logiciels associées, qui peuvent donc être exposées. Aussi, le nécessaire rattrapage de l’informatisation des services conduit inévitablement à devoir protéger les données des patients, et les logiciels pour les « soigner ». Car aujourd’hui, ces systèmes – comme dans les préfectures, les collectivités – ont tendance à s’ouvrir. Il suffit de quelqu’un se connectant à une plate-forme de résultats, à une interface type Doctolib, et les problèmes commencent ».
Composantes sécurité, disponibilité de l’information, intégrité des données, confidentialité et traçabilité… Autant d’éléments qui occupent l’esprit du chef de service de ce centre hospitalier normand. « Aujourd’hui, les données de patients ont de la valeur, la donnée médicale a de la valeur. Si on parle de cryptovirus, on est en perte de disponibilité totale, comme si quelqu’un entrait chez vous et changeait votre serrure. Alors notre leitmotive au centre hospitalier, c’est de faire en sorte que la cybersécurité soit une chaîne de valeurs, un maillon du métier. Car ici, tous les jours, nous recevons des mails renvoyant à des liens malveillants. Des gens se sont passer pour d’autres établissements hospitaliers par exemple, contactent des agents. Derrière, il y a forcément une malversation possible. Il faut donc que chaque utilisateur « maison » devienne un maillon fort de la protection ».
« Quelqu’un s’est fait hameçonner… »
Le centre hospitalier recourt depuis longtemps à l’envoi d’information aux agents, sans pour autant pouvoir mesurer leur efficacité. « Tout le le contraire de la démarche avec Avant de Cliquer, assure Hervé. On a présenté la solution dans un premier temps au comité de direction. Et cinquante personnes l’ont évalué. Une fois le test fait, et l’accord de la direction, nous l’avons déployée. J’ai personnellement piloté son développement sur l’ensemble de nos établissements. Nous avons démarré fin 2018, début 2019».
Un élément « extérieur » en 2019, en l’occurrence un cryptovirus, touche d’ailleurs un des établissements du centre hospitalier. « Quelqu’un s’est fait hameçonné, raconte Hervé. Nous avons donc mené une campagne de sensibilisation, insisté à la fois sur les usages personnels et professionnels. Avec l’entreprise Avant de Cliquer, nous avons trouvé un contenu de vulgarisation à la portée des utilisateurs, avec un objectif pédagogique. Nous avons expliqué aux collaborateurs les mécanismes de signalement, les réflexes à mettre en place comme une déconnexion totale du poste, les procédures à mettre en place en cas de messages suspects. »
La simplicité des solutions proposées
Le responsable du service apprécie, dit-il, la simplicité des solutions proposées. « Le prestataire envoie des mails de façon régulière, qui se mélangent aux activités classiques. Lorsqu’un agent se fait avoir, il est sensibilisé à chaud. Et lorsqu’il détecte un mail, une pièce jointe qu’il pense douteuse, il me l’envoie directement. Globalement, 15 à 25 % de utilisateurs allaient naturellement au début sur des mails malveillants, notamment les personnes travaillant la nuit. D’où la nécessité de référents métiers, inscrits dans les propositions d’Avant de cliquer ».
Mais il reste du travail à faire, songe le chef de service. « Certains ont suivi à 90 % la formation, d’autres non, on pu être trop accaparés au demeurant. Ce qui est bien, c’est de maintenir une certaine pression. Car ça finit par payer. Dans un de nos établissements, nous sommes passés, sur 100 mails envoyés, de 10 % de clics qui n’auraient pas dû être à seulement 2 % aujourd’hui. Et la magie du produit, c’est qu’il n’est pas invasif. En moyenne, chaque personne reçoit un mail par mois ».
Le centre hospitalier vient de « resigner » pour l’année 2021-2022. « La direction est rassurée de constater que le nombre de clics diminue, ajoute Hervé. Avant de cliquer, pour moi, cerne bien le sujet ».
Dans un monde où la cybersécurité est devenue une préoccupation majeure pour les organisations, l’ingénierie sociale représente l’une des menaces…
Retrouvez toutes nos ressources cyber, guides et conseils, grands publics ou spécialisés, phishing et autres attaques sur notre page Ressources.
Des contenus sélectionnés pour votre structure :