La sensibilisation à la cybersécurité réinventée
qui divise par 10 le risque de cyberattaque

A l’aide d’un programme de sensibilisation au phishing
basé sur l’apprentissage par l’action,
créé sur mesure pour chaque utilisateur
et animé sur la durée sans intervention de votre part

AUDIT DE VULNÉRABILITÉ
évalue en situation réelle le NIVEAU DE MATURITÉ de chacun de vos utilisateurs face à une ATTAQUE par PHISHING !

BOUTON ALERTE CYBER
CENTRALISE les attaques évitées.
Outil de management du RISQUE CYBER
en temps RÉEL.

APPRENTISSAGE PAR L’ACTION
une PÉDAGOGIE innovante pour développer des RÉFLEXES de cybersécurité
face au PHISHING.

Ils nous font confiance

« Parce que l’humain
est au cœur de la
Cybersécurité ! »

  • Un algorithme intelligent permet d’envoyer des e-mails d’apprentissage adaptés au niveau de vigilance de chaque utilisateur. Suite à l’audit initial, chaque utilisateur dispose d’un programme individuel d’acquisition de compétences.
  • 41 caractéristiques testées : les e-mails d’apprentissage envoyés à vos utilisateurs comportent de 3 à 6 caractéristiques retrouvées dans les véritables e-mails d’hameçonnage. De l’attaque “de masse” non identifiée à la tentative de phishing personnalisée comme dans “la fraude au président”, Avant de Cliquer personnalise les templates des niveaux les plus élevés afin d’aguerrir les compétences de vos utilisateurs.
  • Les utilisateurs peu vigilants sont sensibilisés autant de fois que nécessaire jusqu’à ce que chaque point de faiblesse détecté soit comblé. Au moment où une erreur phishing qui aurait pu être fatale est commise, l’utilisateur est invité à suivre une sensibilisation d’une à trois minutes. C’est ce qu’en pédagogie on appelle l’apprentissage par l’expérience.
  • Sensibilisation perpétuelle : à chaque instant, chaque utilisateur est susceptible de recevoir un e-mail qu’il n’est pas supposé cliquer dans le cadre de son activité professionnelle. Adaptés aux compétences de l’utilisateur, la difficulté des mails est croissante pour une progression individuelle et collective.
  • La gouvernance : direction et responsables du système d’information ont accès à un tableau de bord en temps réel permettant de piloter le cyber risque face au phishing, évaluer les mesures organisationnelles proactives mises en place et réagir immédiatement en cas de cyberattaque massive.
  • Un rapport mensuel documente toutes les actions de sensibilisation menées, les améliorations constatées et les axes de progression à amplifier. Il permet ainsi d’adapter la stratégie globale de l’organisation à la cybersécurité comportementale. Impliquant les équipes dans une veille cyber opérationnelle, c’est l’outil de pilotage d’une culture de cybersécurité proactive.

Notre solution est autonome, non intrusive et ne nécessite aucune modification de votre infrastructure technique.
Confiez-nous cette responsabilité et laissez vos équipes se concentrer sur des tâches à plus haute valeur ajoutée.

Les solutions de sensibilisation anti-phishing Avant de Cliquer sont référencées UGAP et CAIH.

Témoignages

Témoignage du RSI d’un Conseil Départemental en Métropole

(Recueilli en mai 2021 par un journaliste indépendant)

Dans son Conseil Départemental: 95% des collaborateurs rompus aux bonnes pratiques anti-phishing

Responsable de la sécurité des systèmes d’information au sein d’un Conseil Départemental en métropole, Gautier se dit très satisfait des prestations proposées par “Avant de Cliquer”. Il vient d’ailleurs de “re-signer” pour un an.
“Plus de 3 000 collaborateurs utilisant des données informatiques, échangeant avec des usagers, des prestataires, des associations, engageant des contrats… Notre Conseil Départemental gère des données très sensibles qu’il faut protéger, assurément”. Responsable de la sécurité des systèmes d’information d’un Conseil Départemental, Gautier présente ainsi le décor de son activité, au sein de la direction des systèmes d’information. Et il mesure le chemin parcouru en un peu plus d’un an, “le nombre de collaborateurs cliquant sur des liens à risque potentiel étant passé de 26% à 5% en un an. En somme, 95% sont déjà rompus aux bonnes pratiques” face au phishing.

Enfance, personnes âgées, personnes handicapées, prestations légales d’aides sociales, construction et entretien des collèges…, autant de prérogatives qui sont l’apanage des Conseils Départementaux, et qu’il faut évidemment encadrer, sécuriser. “Les différents services gèrent et traitent des données financières, médicales, voient passer des casiers judiciaires dans le cadre de la protection de l’enfance, lancent des appels d’offres. Il y a donc potentiellement beaucoup de risques pour les fichiers et les systèmes d’information, argumente Gautier.
Le plus gros risque aujourd’hui pour les systèmes d’information, c’est le cyber risque lié au phishing. On sait que 80% des attaques avec demande de rançon se passent par le biais d’un phishing, entre lien malveillant dans un mail, pièce jointe contaminée, etc.”

Des outils de détection dépassés, des mails très douteux à éliminer

Avant de recourir à l’entreprise “Avant de Cliquer”, les services de Gautier ont déployé toute une suite d’outils (filtres anti spam, firewall) qu’ils qualifient “de plus en plus intelligents” mais qui, ajoute-t-il, “sont vite arrivés à leur limite. Au demeurant, on n’a pas forcément mis assez le doigt sur l’intelligence individuelle et collective des usagers des systèmes informatiques”. Pas de demande de rançon jusque-là au sein de la collectivité, mais “des quantités de mails reçus laissant croire qu’ils viennent de notre direction informatique, d’un prestataire qui vend une solution, d’une entreprise ou d’une association avec laquelle on travaille, liste Gautier. Il peut y avoir des attaques de masse qui ont moins de chance de passer, d’autres plus fines qui passent. Il fallait donc aller plus loin dans la protection générale des données, des systèmes”.

Avec en tête les cyberattaques contre des métropoles depuis un an, et les CHU également, le dirigeant revendique une sensibilisation sur le sujet. “Je travaillais auparavant dans une structure où les besoins en sécurité étaient très forts. Une fois arrivé au Conseil Départemental, j’ai commencé par une analyse des risques pour déterminer où se situaient les plus importants, pour me rendre compte rapidement qu’ils sont dans l’usage de la messagerie. Or, ce qui est très souvent oublié, c’est la sensibilisation des utilisateurs. Encore une fois, les outils techniques ne sont pas une fin en soi : le dessous de l’iceberg – la sensibilisation -, est oublié par les DSI. D’où l’idée de sensibiliser l’ensemble de nos utilisateurs avec une entreprise extérieure.

Au bout d’un an d’accompagnement, on sait à quoi ressemble une attaque par phishing
Ne pas ouvrir un lien sans faire attention, sans maîtriser l’impact potentiel, sans se rendre compte du risque… “Au bout d’un peu plus d’un an d’accompagnement par l’entreprise rouennaise, on sait vraiment à quoi ressemble une attaque, ne serait-ce que par des fautes d’orthographes qui doivent alerter, tout comme un lien pointant vers un site web inconnu, poursuit le responsable. On a démarré par un audit des pratiques des utilisateurs; on leur a proposé du e-learning sans qu’il ait un caractère obligatoire. En revanche, les exercices de phishing sont incontournables, tous les agents en reçoivent”.
Au bout d’un an, 95% des utilisateurs du Conseil Départemental sont déjà sensibilisés. “En clair, si on adresse une série de mails malveillants à l’ensemble de nos 3000 collaborateurs, 5% seulement cliquent, donc 95% sont sensibilisés, dûment avertis. Tout cela grâce aux exercices qu’Avant de Cliquer nous propose. Qui plus est, la solution nous permet, en fonction des différents métiers, de voir qui clique le plus souvent. Alors, on adapte nos campagnes de sensibilisation, on prend une journée ou deux pour une prise en charge particulière des services concernés”.

Du temps optimisé pour le dirigeant
Avantage aussi pour le dirigeant: le temps est optimisé. “Ce qui m’a plu, sachant que je manque de temps, c’est qu’on m’a proposé une solution clef en main. J’ai investi un minimum de mon temps (5 ou 6 jours peut-être), tout en étant très bien accompagné. Le produit permet d’avoir un tableau de bord pour connaître le niveau de sensibilisation des collaborateurs”. Des collaborateurs dont Gautier apprécie l’adhésion. “Franchement, en matière de clics intempestifs, de risque, on était dans le rouge. Aujourd’hui, on est à l’entrée du vert. Avant, on ne faisait que de la sensibilisation par Intranet, avec des articles sur les bonnes pratiques préconisées. C’est bien, mais ça n’est pas vu par tout le monde. Surtout, il n’y avait pas d’exercices d’évaluation. On n’avait fait qu’un petit morceau du travail. J’ai vu les choses évoluer très favorablement depuis le recours au prestataire. Il faut aussi sensibiliser les nouveaux agents, il faut aller de l’avant car les attaques se multiplient”.
Le responsable de la sécurité des systèmes d’information entend élargir la sensibilisation des agents du Département sur d’autres domaines que le phishing, comme les mots de passe, le verrouillage des PC… “Avant de Cliquer” a les compétences pour ça. J’imagine bien des webinaires, des vidéos sur d’autres risques de sécurité. Ils sont très bons dans les contenus proposés”.

Actualités

Newsletter

Avant de Cliquer, l'humain au coeur de la cybersécurité

 

Pour recevoir la synthèse mensuelle de l’actualité cyber avec les informations sur les nouveaux guides et conseils,
inscrivez vous à la Newsletter d’Avant de Cliquer





    J'accepte de recevoir des e-mails et confirme avoir pris connaissance de vos mentions légales.

    Ressources

    Retrouvez toutes nos ressources cyber, guides et conseils, grands publics ou spécialisés, phishing et autres attaques sur notre page Ressources.

    Des contenus sélectionnés pour votre structure :

    • Collectivités locales, Mairie
    • Santé, hôpitaux
    • Entreprises, TPE, PME
    • Sécurité et Défense
    • Industrie, PMI