Conduire des simulations d’hameçonnage permet à une entreprise de prendre le pouls de la résilience de ses employés. (Photo: 123RF)
SE TIRER D’AFFAIRES (4/6). L’hameçonnage représente l’une des cybermenaces les plus souvent rencontrées par les entrepreneurs. En 2020, 78% des organisations canadiennes ont été ciblées par au moins une tentative d’hameçonnage réussie, selon un rapport de la firme Imperva. David Shipley, PDG et cofondateur de l’entreprise de cybersécurité Beauceron Security n’en est nullement étonné. Pour lui, une chose est certaine : la majorité des attaques malveillantes visent les humains, pas les technologies.
Le défi de l’entrepreneur
« Les tentatives d’hameçonnage sont de plus en plus créatives », observe Martin Lemay, directeur de la sécurité des systèmes d’information chez Devolutions, une société de développement de logiciels basée à Lavaltrie, qui a dû — à l’instar de nombreuses autres organisations — sensibiliser et mobiliser ses employés à la menace.
À l’aide d’outils d’intelligence artificielle comme ChatGPT, les fraudeurs peuvent désormais automatiser la rédaction de courriels frauduleux et les rendre extrêmement persuasifs, ce qui rend leurs attaques plus sophistiquées.
C’est en 2018 que Devolutions a commencé à lancer des simulations d’hameçonnage, envoyées chaque trimestre, mais également à mettre en place un module d’apprentissage en ligne et un canal de communication consacré au partage d’actualités du cybercrime.
Bien qu’il se réjouisse d’un taux de réussite très élevé aux tests d’hameçonnage au sein de son entreprise, Martin Lemay indique que les circonstances entourant une tentative d’hameçonnage peuvent parfois jouer en défaveur du personnel. « On a remarqué que certains employés sont prompts à se faire avoir quand ils ont eu affaire avec une organisation le jour même ou la veille. » Celui ou celle qui attend une livraison au bureau, par exemple, aura davantage tendance à interagir avec le courriel d’un cybercriminel se faisant passer pour Postes Canada.
SUIVANT: la solution de l’expert
David Shipley, PDG et cofondateur de l’entreprise de cybersécurité Beauceron Security (Photo: courtoisie)
La solution de l’expert
David Shipley de Beauceron Security défend une approche humaine axée sur la gestion des émotions. Son objectif est d’aider les organisations à transformer leurs employés — des cibles vulnérables — en meilleurs agents de cyberdéfense.
Son entreprise a intégré à sa plateforme un module de formation basé sur l’intelligence émotionnelle et la pleine conscience appliquées à l’hameçonnage, à laquelle 7000 individus ont collaboré. « Par exemple, nous invitons les participants à se poser des questions sur les raisons pour lesquelles quelqu’un enverrait tel ou tel message. On les éduque également sur les réactions instinctives ou émotionnelles qui peuvent les faire flancher face aux courriels suspects. »
L’entreprise a ainsi réussi à réduire de 42 % les taux de clics sur des sites frauduleux, indique David Shipley. Comme quoi mettre l’accent sur l’aspect humain est payant !
Pour cet adepte des neurosciences, les tentatives d’hameçonnage réussies sont celles qui parviennent à accéder à notre « ancien cerveau », celui où nos émotions peuvent encore prendre le contrôle. « Lorsqu’il fonctionne, l’hameçonnage peut mettre notre pensée rationnelle en veilleuse et faire passer notre pensée émotionnelle sur le siège conducteur. Ce qui nous pousse à faire des choses que nous ne ferions pas en temps normal », comme cliquer sur un hyperlien dans un courriel suspect sans prendre le temps de vérifier l’adresse exacte de l’envoyeur.
Miser sur l’éducation du personnel
Conduire des simulations d’hameçonnage permet à une entreprise de prendre le pouls de la résilience de ses employés, tout en offrant des occasions de les former à reconnaître et à éviter la menace. Sans formation, indique David Shipley, c’est jusqu’à 30 % des employés d’une entreprise qui peuvent se faire piéger.
Pour être efficaces, les simulations d’hameçonnage doivent toutefois être réalisées de manière éthique et sans jugement négatif. L’objectif n’est pas de réprimander les employés pour avoir interagi avec un hameçon, mais plutôt de les féliciter lorsqu’ils signalent les incidents. Et parce que chaque minute compte, il est essentiel de s’assurer que l’employé sait comment, quand et où aller lorsqu’il a besoin d’aide.
Ne pas ignorer le problème
Quand un employé croit avoir interagi avec un hameçon, il est important de ne pas l’ignorer ni tenter de cacher la situation, insiste David Shipley, qui rappelle que personne n’est à l’abri d’un tel piège. David Shipley avise les patrons et les collègues de ne pas blâmer ledit employé : une telle attitude a toutes les chances de décourager les prochaines victimes à divulguer des futurs incidents.
La prochaine étape ? Recueillir les détails de l’attaque. « Lorsque vous avez appuyé sur l’hyperlien, avez-vous dû saisir votre nom d’utilisateur et votre mot de passe ? Si c’est le cas, changez-les immédiatement », implore David Shipley. Finalement, l’expert recommande de mettre l’équipe ou le partenaire en cybersécurité sur le cas « pour qu’elle enquête et, si nécessaire, qu’elle efface vos appareils et réinstalle les choses, juste pour être sûr. »