Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Face à l’explosion des attaques par phishing, l’entreprise Axess a choisi d’agir par la simulation des cybermenaces et la formation de ses salariés en intégrant un chatbot éducatif. Une stratégie qui réduit de 70 % les risques de cyberattaques.
Hameçonnage à la lance, chasse à la baleine, pêche au saumon … sont autant d’approches utilisées par les cybercriminels pour leurrer, non plus le poisson, mais l’humain. L’objectif ? Inciter l’utilisateur à communiquer des données personnelles. D’après les chercheurs de Netskope, 8 utilisateurs sur 1000 ont cliqué sur un lien frauduleux, contre 2,9 en 2023. Cela représente une hausse de 200% par rapport à l’année précédente. Un chiffre susceptible de connaître une nouvelle croissance face aux évolutions technologiques des attaques, désormais dopées à l’IA. Malgré l’évolution des méthodes, leur poisson phare reste les PME (petites et moyennes entreprises), moins préparées aux cyberattaques. Ces risques n’épargnent personne, pas même les entreprises du numérique, et ça, Axess en a bien conscience. L’entreprise de plus de 300 salariés offre des conseils et des solutions en matière de cloud, software et digital service. Pourtant, Pascal Mathieu, directeur des systèmes informatiques, a tenu à externaliser la formation de tous les employés en matière de cybersécurité. “Les risques existent principalement sur le personnel administratif et pas seulement sur les services informatiques. On a notamment eu des attaques au président par mail et téléphone. Heureusement, aucune n’a abouti”, expose le DSI.
Traiter les menaces cyber comme des alertes incendies
Avant d’entreprendre un quelconque changement, Pascal Mathieu a besoin d’un état des lieux. En janvier 2024, il fait appel à Riot, une entreprise de cybersécurité qui propose, entre autres, des simulations de phishing et de la formation. Leur arrivée est synonyme d’un lancement de campagnes de phishing au sein d’Axess. Notification par mail de “mot de passe expiré”, invitation Linkedin, et tous les formats d’hameçonnage en lien avec la suite Windows y passent. Résultat, vingt-six salariés tombent dans le panneau, soit un score de vulnérabilité à 9 %. “En-dessous des 10 %, c’est un bon score, selon Riot. Mais pour moi, ça prouve juste que le risque est présent et que ce n’est pas une chimère”, s’exaspère le DSI. Hors de question de blâmer les salariés, au contraire, Pascal Mathieu a élaboré, avec Riot, un accompagnement personnalisé pour les sensibiliser. Le service informatique, puis le service manager, appellent la personne concernée pour lui expliquer ses erreurs et comment les éviter. Si certains salariés émettent la sensation d’être piégés, le DSI affirme que leurs réactions s’adoucissent avec de la pédagogie. « C’est tout à fait normal d’être testé, ça fait partie des compétences à avoir. On fait bien des simulations d’incendies pour éviter les accidents, alors pourquoi pas faire de même avec les menaces numériques ? », réagit Julie, membre du service comptabilité et recouvrement chez Axess.
70% de risques en moins grâce à la formation
Un simple appel ne suffit pas à changer les comportements. Axess compte bien former ses équipes pour améliorer son score de vulnérabilité. Dès janvier 2024, Pascal Mathieu a présenté Albert, le nouveau membre de l’entreprise consultable sur l’application Teams. Ce fameux Albert n’est autre qu’un chatbot élaboré par Riot pour former les salariés de façon régulière et ludique. « Le sujet des risques cyber entre dans le quotidien, parce qu’on a un contact continu avec Albert. Ce n’est pas l’affaire de deux fois par an, puis on oublie tout », déclare le directeur des systèmes informatiques. Un bon réflexe, puisque cybermalveillance.gouv.fr estime à 70 % la baisse des risques de cyberattaques pour les PME disposant d’une formation récurrente. Les cours de sensibilisation et les campagnes de phishing augmentent leur difficulté pour déceler toutes les attaques, jusqu’aux plus performantes. « Maintenant, je me méfie même des mails censés être en internes. La semaine dernière, j’ai reçu un mail concernant des soi-disant notes de frais. Je n’en fais jamais, donc j’ai préféré poser la question au service comptabilité et c’était bien un leurre », se félicite Julie. En un an et demi, la vigilance des salariés s’est accrue, divisant par deux leur score de vulnérabilité. Pascal Mathieu a pourtant remarqué un nouvel écueil : le risque de ne pas traiter des mails valides. « J’encourage à signaler les mails suspects avec la fonctionnalité Outlook plutôt que de les mettre de côté instinctivement. Chez Axess, notre taux de signalement s’élève à quatre voire cinq mails par jour », conclut Pascal Mathieu.
