La sensibilisation à la cybersécurité réinventée
qui divise par 10 le risque de cyberattaque

A l’aide d’un programme de sensibilisation au phishing
basé sur l’apprentissage par l’action,
créé sur mesure pour chaque utilisateur
et animé sur la durée sans intervention de votre part

AUDIT DE VULNÉRABILITÉ
évalue en situation réelle le NIVEAU DE MATURITÉ de chacun de vos utilisateurs face à une ATTAQUE par PHISHING !

BOUTON ALERTE CYBER
CENTRALISE les attaques évitées.
Outil de management du RISQUE CYBER
en temps RÉEL.

APPRENTISSAGE PAR L’ACTION
une PÉDAGOGIE innovante pour développer des RÉFLEXES de cybersécurité
face au PHISHING.

Ils nous font confiance

« Parce que l’humain
est au cœur de la
Cybersécurité ! »

  • Un algorithme intelligent permet d’envoyer des e-mails d’apprentissage adaptés au niveau de vigilance de chaque utilisateur. Suite à l’audit initial, chaque utilisateur dispose d’un programme individuel d’acquisition de compétences.
  • 41 caractéristiques testées : les e-mails d’apprentissage envoyés à vos utilisateurs comportent de 3 à 6 caractéristiques retrouvées dans les véritables e-mails d’hameçonnage. De l’attaque “de masse” non identifiée à la tentative de phishing personnalisée comme dans “la fraude au président”, Avant de Cliquer personnalise les templates des niveaux les plus élevés afin d’aguerrir les compétences de vos utilisateurs.
  • Les utilisateurs peu vigilants sont sensibilisés autant de fois que nécessaire jusqu’à ce que chaque point de faiblesse détecté soit comblé. Au moment où une erreur phishing qui aurait pu être fatale est commise, l’utilisateur est invité à suivre une sensibilisation d’une à trois minutes. C’est ce qu’en pédagogie on appelle l’apprentissage par l’expérience.
  • Sensibilisation perpétuelle : à chaque instant, chaque utilisateur est susceptible de recevoir un e-mail qu’il n’est pas supposé cliquer dans le cadre de son activité professionnelle. Adaptés aux compétences de l’utilisateur, la difficulté des mails est croissante pour une progression individuelle et collective.
  • La gouvernance : direction et responsables du système d’information ont accès à un tableau de bord en temps réel permettant de piloter le cyber risque face au phishing, évaluer les mesures organisationnelles proactives mises en place et réagir immédiatement en cas de cyberattaque massive.
  • Un rapport mensuel documente toutes les actions de sensibilisation menées, les améliorations constatées et les axes de progression à amplifier. Il permet ainsi d’adapter la stratégie globale de l’organisation à la cybersécurité comportementale. Impliquant les équipes dans une veille cyber opérationnelle, c’est l’outil de pilotage d’une culture de cybersécurité proactive.

Trophées & référencements

Les spécificités par secteurs

Notre solution est autonome, non intrusive et ne nécessite aucune modification de votre infrastructure technique.
Confiez-nous cette responsabilité et laissez vos équipes se concentrer sur des tâches à plus haute valeur ajoutée.

Découvrez les spécificités d’Avant de Cliquer en cliquant sur le secteur concerné.

Les solutions de sensibilisation anti-phishing Avant de Cliquer sont référencées UGAP et CAIH.

Témoignages

Témoignage du Responsable des Services Informatiques d'un Conseil Départemental avec 3 000 collaborateurs

(Recueilli en mai 2021 par un journaliste indépendant)

Dans son Conseil Départemental: 95% des collaborateurs rompus aux bonnes pratiques anti-phishing

Responsable de la sécurité des systèmes d’information au sein d’un Conseil Départemental en métropole, Gautier se dit très satisfait des prestations proposées par “Avant de Cliquer”. Il vient d’ailleurs de “re-signer” pour un an.
“Plus de 3 000 collaborateurs utilisant des données informatiques, échangeant avec des usagers, des prestataires, des associations, engageant des contrats… Notre Conseil Départemental gère des données très sensibles qu’il faut protéger, assurément”. Responsable de la sécurité des systèmes d’information d’un Conseil Départemental, Gautier présente ainsi le décor de son activité, au sein de la direction des systèmes d’information. Et il mesure le chemin parcouru en un peu plus d’un an, “le nombre de collaborateurs cliquant sur des liens à risque potentiel étant passé de 26% à 5% en un an. En somme, 95% sont déjà rompus aux bonnes pratiques” face au phishing.

Enfance, personnes âgées, personnes handicapées, prestations légales d’aides sociales, construction et entretien des collèges…, autant de prérogatives qui sont l’apanage des Conseils Départementaux, et qu’il faut évidemment encadrer, sécuriser. “Les différents services gèrent et traitent des données financières, médicales, voient passer des casiers judiciaires dans le cadre de la protection de l’enfance, lancent des appels d’offres. Il y a donc potentiellement beaucoup de risques pour les fichiers et les systèmes d’information, argumente Gautier.
Le plus gros risque aujourd’hui pour les systèmes d’information, c’est le cyber risque lié au phishing. On sait que 80% des attaques avec demande de rançon se passent par le biais d’un phishing, entre lien malveillant dans un mail, pièce jointe contaminée, etc.”

Des outils de détection dépassés, des mails très douteux à éliminer

Avant de recourir à l’entreprise “Avant de Cliquer”, les services de Gautier ont déployé toute une suite d’outils (filtres anti spam, firewall) qu’ils qualifient “de plus en plus intelligents” mais qui, ajoute-t-il, “sont vite arrivés à leur limite. Au demeurant, on n’a pas forcément mis assez le doigt sur l’intelligence individuelle et collective des usagers des systèmes informatiques”. Pas de demande de rançon jusque-là au sein de la collectivité, mais “des quantités de mails reçus laissant croire qu’ils viennent de notre direction informatique, d’un prestataire qui vend une solution, d’une entreprise ou d’une association avec laquelle on travaille, liste Gautier. Il peut y avoir des attaques de masse qui ont moins de chance de passer, d’autres plus fines qui passent. Il fallait donc aller plus loin dans la protection générale des données, des systèmes”.

Avec en tête les cyberattaques contre des métropoles depuis un an, et les CHU également, le dirigeant revendique une sensibilisation sur le sujet. “Je travaillais auparavant dans une structure où les besoins en sécurité étaient très forts. Une fois arrivé au Conseil Départemental, j’ai commencé par une analyse des risques pour déterminer où se situaient les plus importants, pour me rendre compte rapidement qu’ils sont dans l’usage de la messagerie. Or, ce qui est très souvent oublié, c’est la sensibilisation des utilisateurs. Encore une fois, les outils techniques ne sont pas une fin en soi : le dessous de l’iceberg – la sensibilisation -, est oublié par les DSI. D’où l’idée de sensibiliser l’ensemble de nos utilisateurs avec une entreprise extérieure.

Au bout d’un an d’accompagnement, on sait à quoi ressemble une attaque par phishing
Ne pas ouvrir un lien sans faire attention, sans maîtriser l’impact potentiel, sans se rendre compte du risque… “Au bout d’un peu plus d’un an d’accompagnement par l’entreprise rouennaise, on sait vraiment à quoi ressemble une attaque, ne serait-ce que par des fautes d’orthographes qui doivent alerter, tout comme un lien pointant vers un site web inconnu, poursuit le responsable. On a démarré par un audit des pratiques des utilisateurs; on leur a proposé du e-learning sans qu’il ait un caractère obligatoire. En revanche, les exercices de phishing sont incontournables, tous les agents en reçoivent”.
Au bout d’un an, 95% des utilisateurs du Conseil Départemental sont déjà sensibilisés. “En clair, si on adresse une série de mails malveillants à l’ensemble de nos 3000 collaborateurs, 5% seulement cliquent, donc 95% sont sensibilisés, dûment avertis. Tout cela grâce aux exercices qu’Avant de Cliquer nous propose. Qui plus est, la solution nous permet, en fonction des différents métiers, de voir qui clique le plus souvent. Alors, on adapte nos campagnes de sensibilisation, on prend une journée ou deux pour une prise en charge particulière des services concernés”.

Du temps optimisé pour le dirigeant
Avantage aussi pour le dirigeant: le temps est optimisé. “Ce qui m’a plu, sachant que je manque de temps, c’est qu’on m’a proposé une solution clef en main. J’ai investi un minimum de mon temps (5 ou 6 jours peut-être), tout en étant très bien accompagné. Le produit permet d’avoir un tableau de bord pour connaître le niveau de sensibilisation des collaborateurs”. Des collaborateurs dont Gautier apprécie l’adhésion. “Franchement, en matière de clics intempestifs, de risque, on était dans le rouge. Aujourd’hui, on est à l’entrée du vert. Avant, on ne faisait que de la sensibilisation par Intranet, avec des articles sur les bonnes pratiques préconisées. C’est bien, mais ça n’est pas vu par tout le monde. Surtout, il n’y avait pas d’exercices d’évaluation. On n’avait fait qu’un petit morceau du travail. J’ai vu les choses évoluer très favorablement depuis le recours au prestataire. Il faut aussi sensibiliser les nouveaux agents, il faut aller de l’avant car les attaques se multiplient”.
Le responsable de la sécurité des systèmes d’information entend élargir la sensibilisation des agents du Département sur d’autres domaines que le phishing, comme les mots de passe, le verrouillage des PC… “Avant de Cliquer” a les compétences pour ça. J’imagine bien des webinaires, des vidéos sur d’autres risques de sécurité. Ils sont très bons dans les contenus proposés”.

Témoignage d'un Directeur des Systèmes d'Information d'une commune de 30 000 habitants des Hauts de France

(Recueilli en juillet 2021 par un journaliste indépendant)

«C’est l’utilisateur qui clique là où il n’aurait pas dû !»

Dans une ville des Hauts-de-France, Hervé a en charge les systèmes d’information. Victime régulièrement de mails malveillants, il devait réagir. Les campagnes de faux mails s’enchaînent et il travaille sur l’assiduité des 500 collaborateurs utilisateurs et transmetteurs d’informations.

Directeur des systèmes d’information d’une ville de 30 000 habitants dans les Hauts-de-France, Gilles est un féru d’informatique, rôdé aux questions de cybersécurité. Depuis sont BTS informatique en poche, il a évolué de technicien d’information à directeur des systèmes d’information, poste qu’il occupe depuis cinq ans.

« Une ville, c’est énormément de données qui couvrent énormément de domaines, entre ceux des collaborateurs et ceux des administrés. Il faut imaginer que nous touchons aux informations de l’état civil, de la petite enfance, de la jeunesse, des élections, du recensement…, liste le chef de service. On est au coeur de l’administration, de la vie des gens. Et c’est autant d’éléments à protéger, forcément ».

Les utilisateurs ouvrent les portes

Averti, Hervé met en place des anti spam contre le hameçonnage, des antivirus sur tous les postes de travail de ses collaborateurs qui sont près de 500. « Mais on s’est vite aperçu qu’on avait beau faire pour contrer les attaques, des intrus arrivaient à ouvrir les portes. Ou plutôt, ce sont les utilisateurs eux-mêmes qui ouvraient ces portes ! » Du coup, d’une réflexion à l’autre, le chef des systèmes d’information se dit que « le plus important, c’est bien de sensibiliser les utilisateurs au premier chef, plutôt que de multiplier les systèmes de sécurité… Car au final, c’est bien l’utilisateur qui clique sur le lien, sur la pièce jointe, donnant accès aux pirates ».

Sa ville a déjà reçu des mails malveillants, été victime d’hameçonnage, reconnaît-il. « Il peut s’agir de sociétés, de prestataires extérieurs qui nous appellent, nous adressent des spams, des mails de phishing. Mais on ne lâche rien, surtout pas de rançon ! Au passage, sachez qu’il nous faut aussi sensibiliser les élus avec qui c’est un peu plus compliqué.«

Relancer, expliquer, convaincre

L’assiduité, c’est le maître-mot, le lien où appuyer quand des personnes se sont fait piéger. « C’est précisément ce sur quoi on insiste avec Avant de cliquer, une entreprise rencontrée en parcourant au mois de janvier 2020 un salon de la cybercriminalité à Lille. Nous avons bien discuté sur place. Et dans la foulée, elle m’a envoyé des informations tandis que se pointait cette vaste période de pandémie, avec le confinement, le télétravail conjugués avec des problèmes de cybersécurité ».

Avant de cliquer propose « une partie pédagogie très intéressante, avec un audit puis un envoi de faux mails », détaille Hervé qui se retrouve « avec des personnes se faisant avoir. Même avec seulement 20 % de taux de mauvais clics, des failles s’ouvrent, des hameçonnages sont à nos portes. Alors ce qui est important, c’est la pédagogie encore une fois, le fait de pouvoir expliquer aux personnes pourquoi elles se sont fait avoir ».

La perception est bonne

Débutée en juin 2020, la campagne de mails orchestrée par Avant de cliquer est adressée à tous les collaborateurs de la ville. « Nous avons communiqué sur le caractère obligatoire de l’opération, mais nous sommes en train, toujours, de travailler sur l’assiduité. Pour les personnes qui se font piéger, quel est le taux de suivi de la formation ? Il faut tout décrypter, pour mieux réagir ».

Au début, rapporte Hervé, « 20 % de clics n’auraient pas dû l’être. Et maintenant, nous sommes au printemps 2021, on est descendu à 5 %. Suite à la fausse campagne, les gens qui se sont fait avoir se sont vu proposer une formation. Aujourd’hui, globalement, je dirai que la perception est bonne. Beaucoup de personnes nous renvoient les mails en nous posant des questions sur le fait qu’elles ont des doutes : comportent-ils un risque ou non ? Il faut maintenant travailler avec les collaborateurs pour qui le risque de cybercriminalité n’est pas automatique, pour qui ça passe au second plan. Ca va aussi leur servir au niveau personnel, dans leur vie de tous les jours. C’est un apprentissage des usages, avec un PC ou un téléphone maison ».

De quoi demain sera fait ? « On a commencé à travailler sur le phishing par SMS. C’est assez répandu, mais bizarrement, les gens se font moins avoir, constate le chef de service. Les taux de clics intempestifs sont moins importants. Nous avons par ailleurs en perspective tout ce qui est test d’intrusion, en faisant tester notre sécurité pour connaître nos failles, ne serait-ce que sur notre réseau de wifi public ».

Actualités

Newsletter

Avant de Cliquer, l'humain au coeur de la cybersécurité

 

Pour recevoir la synthèse mensuelle de l’actualité cyber avec les informations sur les nouveaux guides et conseils,
inscrivez vous à la Newsletter d’Avant de Cliquer





    J'accepte de recevoir des e-mails et confirme avoir pris connaissance de vos mentions légales.

    Ressources

    Retrouvez toutes nos ressources cyber, guides et conseils, grands publics ou spécialisés, phishing et autres attaques sur notre page Ressources.

    Des contenus sélectionnés pour votre structure :

    • Collectivités locales, Mairie
    • Santé, hôpitaux
    • Entreprises, TPE, PME
    • Sécurité et Défense
    • Industrie, PMI