Pourquoi vous devriez essayer d'hameçonner vos collègues

Lundi matin, 9 heures. Jake s'assied à son bureau avec son premier café de la journée. Dans les heures qui suivent, il prévoit d'en boire deux autres tasses ; c'est sa routine habituelle. Traditionnellement, il commence sa semaine de travail en triant sa boîte aux lettres : pendant le week-end, il a reçu plusieurs documents de ses collègues et son premier travail consiste à vérifier s'ils sont urgents.

Il trie systématiquement les quatre premiers messages. La structure de dossiers qu'il a créée au fil des ans fonctionne à merveille et lui donne un bon aperçu de ses priorités. Avec le cinquième e-mail, les choses se gâtent. Sylvia, une collègue du service informatique, l'informe qu'il y a un problème avec son compte d'entreprise - pourrait-il le vérifier et changer son mot de passe ? Une tentative de connexion ratée plus tard, il s'étouffe dans son café : son ordinateur affiche un écran rouge et demande une rançon. Le prochain café devra attendre...

L'histoire ci-dessus semble un peu banale, presque prévisible. Pourtant, il s'agit de l'un des scénarios les plus courants à l'origine de la faillite d’entreprises entières. 90 % de tous les cyber-problèmes sont dus à une petite erreur humaine et ils sont faciles à générer. Il suffit d'un seul ordinateur bloqué pour faire tomber une entreprise entière.

Trop souvent, les gens pensent que les pirates utilisent des programmes et des stratégies élaborés et bien pensés pour piéger quelqu'un. C'est parce qu'ils n'ont tout simplement pas d'expérience en la matière. En réalité, les cybercriminels ne font guère plus que sélectionner des victimes et les approcher de la manière la plus simple possible. La simplicité est la clé : plus c'est facile et crédible, plus la victime a de chances de tomber dans le piège.

Dans ce cas, Jake ne fait rien de mal : il lit, évalue et traite les e-mails qui semblent provenir de ses collègues et il fait de son mieux pour que son entreprise fonctionne. C’est dans le cas d'un travail de routine, bien sûr, que le diable se cache dans les détails : un criminel envoie souvent des messages génériques qui s'intègrent parfaitement dans un flux de travail quotidien. Ceux qui n'ont pas suffisamment d'expérience des petits détails qui trahissent les e-mails malveillants sont des proies sans défense.

Découvrir que l'on s'est fait piéger n'est jamais agréable. Les victimes de nos simulations de phishing comprennent souvent la nécessité de tels exercices pour protéger leur organisation. Cependant, nous recevons parfois des réactions qui montrent qu'elles n'apprécient pas l'exercice. "Je n'étais pas préparé à cela", "C'est injuste", "Trop réaliste" : ce n'est là qu'une petite sélection des réactions indignées les plus courantes.

Pour Phished, c'est exactement le but recherché : les gens ne sont jamais préparés à une attaque de phishing. Les pirates utilisent les mêmes tactiques (et techniques) que nous, mais avec un angle ou une intention disons moins pédagogique. Les cybercriminels sont sans pitié, c'est pourquoi il est important que tout le monde soit aussi bien préparé que possible - par la formation, l'éducation et les simulations.

Essayer d'hameçonner ses propres collègues est donc une stratégie forte et légitime pour mieux protéger une organisation, du moins, si cela est fait de manière responsable. C'est là qu'intervient Phished : grâce à des simulations de phishing réalistes, adaptées au destinataire, les employés sont formés de manière automatisée à reconnaître et à traiter les menaces réelles.