Avec le Covid, la digitalisation des entreprises et des collectivités s’est accélérée pour répondre à un nouveau contexte et de nouveaux besoins. Avec des utilisateurs de plus en plus éparpillés géographiquement, l’extension du réseau et l’utilisation de terminaux personnels à des fins professionnelles (ou inversement), de nouveaux risques sont apparus pour les entreprises.

Avec le Covid, de plus en plus d’attaques de phishing visant les individus

D’autant que les pirates sont de plus en plus menaçants et « affamés » : avec une hausse de plus de 400% des attaques en 2020, ceux-ci ont profité du Covid pour continuer à viser les entreprises et administrations françaises. Si ces dernières se sont armées pour faire face aux attaques, les cybercriminels possèdent toujours une avance technologique leur permettant de créer des pièges de plus en plus sophistiqués. De plus, malgré l’adoption de solutions de cybersécurité, la plupart des entreprises et de leurs collaborateurs manquent cruellement de préparation et de sensibilisation autour de ces questions.

Ainsi, les hackers prennent souvent l’humain pour cible pour accéder aux données de l’entreprise. Celui-ci est d’ailleurs impliqué ou à l’origine de 90% des incidents de sécurité. Cela comprend le shadow IT (utilisation d’applications non approuvées), les négligences, les erreurs de manipulation ou de configuration, qu’elles soient internes ou externes, etc.). Les conséquences d’une erreur humaine peuvent ainsi être dramatiques pour les entreprises, quelles que soient leurs tailles : de l’interruption temporaire d’activité à la fermeture définitive, en passant par de colossales pertes financières ou une réputation ternie. Conscients de cela, les pirates privilégient donc souvent la messagerie comme moyen de pénétrer l’entreprise : phishing, spearphishing – qui représentent 80% des cyberattaques – et ransomwares.

Avec une façon de procéder basée sur l’ingénierie sociale, c’est-à-dire de, justement, miser sur le manque de vigilance et de connaissances des personnes ciblées, les cybercriminels mettent à mal la cyber-résilience de l’entreprise. C’est pourtant par cette dernière que leur salut passe. La cyber-résilience permet en effet aux entreprises d’apprendre aux collaborateurs les bons gestes et réflexes, d’engager une démarche préventive auprès d’eux mais aussi de relancer l’activité et la productivité le plus rapidement possible.

Faire du collaborateur un bouclier contre les cyberattaques

Sensibilisés, les collaborateurs peuvent représenter une barrière solide face aux menaces et protéger l’entreprise. La sensibilisation représente par ailleurs 50% dans l’effort dans la lutte contre le phishing, il ne faut donc pas la négliger. Pour ce faire, les solutions concrètes résident dans la formation et la mise en situation simulée des collaborateurs. Les simulations représentent aujourd’hui la meilleure méthode pour évaluer le comportement des équipes en cas d’attaque.

Des sociétés proposent aujourd’hui ce type de services. Mailinblack, par exemple, a créé une solution, nommée Phishing Coach, avec laquelle les directions informatiques peuvent créer des simulations d’attaques de phishing par e-mail au sein de l’entreprise. Les modèles de simulation de phishing sont basés sur de vraies cyberattaques que l’intelligence artificielle Mailinblack a détecté parmi les plus performantes sur le marché. Dans le cas du phishing, différentes simulations sont proposées : collecte de mot de passe, collecte de données d’identité, collecte des identifiants de messagerie, collecte de coordonnées bancaires.

Page d’accueil de Phishing Coach

Phishing Coach repose sur trois piliers :

  • Prise de conscience
  • Apprentissage subconscient
  • Impact mesurable

et fonctionne selon un processus en 3 étapes :

  • 1. création et lancement d’une campagne de phishing sur tout ou partie des équipes, en utilisant des modèles conçus spécifiquement par Mailinblack et basés sur de vraies tentatives d’usurpation par email
  • 2. déroulement de la campagne de phishing au sein des équipes ciblées : chaque collaborateur qui clique sur le lien de phishing et renseigne les informations demandées sera sensibilisé aux bonnes pratiques à suivre
  • 3. accès à d’un rapport de statistiques reprenant les principaux indicateurs de la campagne de simulation d'attaque de phishing, notamment le taux de clic sur les liens malveillants

De plus, MailinBlack propose de tester sa solution Phishing Coach gratuitement à l’occasion du Mois de la Cybersécurité et offre un accès à la plateforme sans engagement, une simulation d'attaque de phishing offerte sur 10 adresses email, 100 accès disponibles sur octobre ainsi que 2 mois d'abonnement pour toute souscription avant le 31 octobre si vous êtes satisfait de votre test.

Quelques modèles de campagnes de phishing

"Lors de la crise COVID-19, nos équipes se sont engagées dans une démarche de soutien auprès des entreprises pour protéger gratuitement leurs messageries professionnelles. Nous souhaitons aujourd'hui réitérer et pérenniser cet accompagnement de proximité, apporter le meilleur niveau d'informations et des solutions efficaces, activables immédiatement, pour lutter contre la cybercriminalité" – Thomas Kerjean, CEO de Mailinblack