AVANT DE CLIQUER, LE SPÉCIALISTE DE LA CYBER SÉCURITÉ

Mis à jour : 17 déc. 2020

La sensibilisation à la cyber sécurité réinventée qui divise par 10 le risque de cyberattaque !


Comment et pourquoi avoir avant de cliquer ?


Le phishing ou hameçonnage est la première des cybermenaces à laquelle sont confrontés les particuliers et les professionnels. 80 % des cyberattaques ont pour origine un email malveillant constitué d’un lien frauduleux sur lequel un utilisateur peu vigilant a cliqué ou l’incitant à transmettre des informations confidentielles (identifiant, mot de passe…) ou encore à ouvrir une pièce jointe piégée.

Services publics, collectivités territoriales, établissements de santé et PME sont visés chaque jour. En 2019, par exemple, 1200 collectivités locales ont été victimes d’une cyberattaque.

Plus sophistiqué, nous partons du constat aujourd'hui que le phishing évolue continuellement. Les solutions techniques arrivent à un niveau de maturité tel que les fraudeurs constatent qu'il est désormais plus aisé de piéger l’humain, en l’occurrence les agents, plutôt que de pirater des systèmes techniques.

Avant de Cliquer répond à cette problématique en permettant aux agents d’acquérir les connaissances nécessaires pour se prémunir de ce type d’attaque et ainsi devenir des maillons « Forts » de la cybersécurité des collectivités.

En effet, notre solution de sensibilisation au phishing est basée sur l’apprentissage par l’action sur la durée, adapté aux besoins et profil de chaque utilisateur.



Comment votre outil de sensibilisation à la cybersécurité fonctionne-t-il ?


Notre mode d’action est de travailler sur une montée en compétence des agents des collectivités locales pour éviter qu'ils entrent en contact avec des fraudeurs. Pour ce faire, nous avons développé un algorithme qui envoie des emails comportant les mêmes caractéristiques techniques et psychologiques utilisées par les fraudeurs, à la différence près qu’au lieu de déclencher une charge virale, bien évidemment, nous allons orienter l'utilisateur vers une plateforme lui expliquant de la manière la plus simple pourquoi il n'aurait pas dû cliquer sur les mails en question.

L'idée est d'acquérir des connaissances par la pratique. Bien plus que le présentiel, cette méthode permet à l'utilisateur de retenir 80% d'informations. L'apprentissage par l'action est, en beaucoup d’aspects, plus impactant.

Nous avons également mis à disposition un bouton « Phishing Alerte » qui permet aux utilisateurs de remonter toute suspicion d’e-mails frauduleux auprès de son IT. Ainsi les agents maintiennent et renforcent le lien avec l’IT même en situation de télétravail.

Avant de cliquer a été distingué à plusieurs reprises par le secteur public, notamment lors du salon des maires et des collectivités locales ainsi que dans le secteur privé avec le prix de l'intelligence économique.


Avant de cliquer, comment ça marche ?

Nous réalisons un audit pour évaluer le niveau de maturité d'une collectivité face aux cyberattaques. Avant de Cliquer teste gratuitement la maturité des utilisateurs face à une attaque par hameçonnage avec un protocole en trois étapes : nous envoyons un à trois emails d’hameçonnage aux utilisateurs sans qu’ils en soient informés à l’avance. Les utilisateurs manquant de vigilance sont dirigés vers une page leur indiquant qu’il s’agissait d’un exercice de sensibilisation et qu’une restitution leur sera faite dans une semaine environ. Une semaine plus tard, Avant de Cliquer fournit un rapport détaillé du niveau de risque qui pèse sur l’organisation.

Nous aidons alors les organisations à mettre en place une véritable action de sensibilisation, permettant aux utilisateurs de mieux appréhender ce cyber risque, via la mise en situation des utilisateurs, en reprenant les techniques utilisées par les véritables cybercriminels.

Pour ce faire, nous nous basons sur une méthode en 6 points :

1) La transmission de connaissance. Nous avons deux plateformes de e-learning. L’une sur la cybersécurité en général où l'on va expliciter les bonnes pratiques informatiques à adopter en télétravail, la gestion de mots de passe ou les périphériques. Puis une plateforme plus spécifique sur notre cœur de métier qui est le phishing, les tenants et les aboutissants, comment s'en prémunir.

2) Des mises en situation où nous confrontons les agents à la problématique du phishing.

3) La durée : nous ne travaillons pas en one shot ou en deux/trois fois mais nous confrontons les agents tout au long de l'année comme pourraient le faire les hackers.

4) L’attaque réaliste : les agents reçoivent ce qui se fait de mieux et ce qui est plus courant actuellement pour les confronter à cette problématique.

5) Solution full autonome : nous nous occupons de tout, le DSI n'as plus qu'à suivre l'évolution de ses agents à travers un tableau de bord.

6) Sensibilisation en fonction des faiblesses de l'utilisateur : l'outil prend en considération la problématique de l'agent, ses failles éventuelles et lui prodigue les bons conseils en trois minutes. Et surtout, il vérifie si les conseils dispensés ont bien été compris et acquis avant d'upgrader sur une notion différente. Nous obtenons des résultats très rapidement : en 3 mois, on divise par 2 les risques, en 6 mois par 6 ou par 8 selon le taux initial et, en général, en 12 mois on divise par 10.

Le DSI a accès à une cartographie en temps réel de sa collectivité. A travers le tableau de bord, il peut sortir un rapport exhaustif avec des graphes, des taux d'utilisation, des taux de clics par service, par individu, la probabilité qu'un email ouvert soit cliqué, etc. Il peut trier les données par service, du plus au moins vertueux, par durée, par ancienneté, les 6 derniers mois, les 3 derniers mois ou le mois en cours. Par ailleurs, il peut accéder à la fiche détaillée d'un utilisateur et démontrer qu’il a cliqué, a été sollicité N fois par le système, a suivi son e-learning, est monté en compétence, a vu telle ou telle notion et a accompli X progression en termes de cybersécurité organisationnelle.


Ce magazine étant destiné aux décideurs politiques, quel message souhaiteriez-vous leur adresser ?

Aujourd'hui toutes nos collectivités ont pris conscience de l’enjeu majeur et hautement stratégique de la cybersécurité. Il faut donc continuer à prendre à bras-le-corps ce défi. Si les collectivités étaient un peu en retard, certaines initiatives permettent d’accélérer et, par conséquent, de rattraper le retard. D’ailleurs, pour certaines d’entre elles, cet objectif est atteint et il s'agit désormais de maintenir le cap. Continuer à sensibiliser les agents face aux risques liés au phishing constitue l’une des pierres angulaires dans la stratégie de cybersécurité pour protéger nos collectivités et leurs données.



www.avantdecliquer.com

Mail: hello@avantdecliquer.com

Tel: 02 78 77 53 86