Bringme gagne beaucoup de temps et évite des frustrations grâce à Phished

Même si Bringme avait déjà une expérience préalable de tests de phishing avant d'utiliser la plateforme Phished, il semblait y avoir encore beaucoup à améliorer.

Sil Goeman, le responsable informatique de la scale-up Bringme, n'en a pas fait directement l'expérience, mais il sait que l'entreprise a été victime, il y a six ans et à deux reprises, d'une attaque au rançongiciel. Il n'aura fallu qu'un e-mail à un seul employé pour permettre la prise d'otage numérique. Les pirates informatiques avaient ainsi pu accéder au serveur qu'ils avaient ensuite crypté. Heureusement, une stratégie de sauvegarde bien établie avait permis d'effacer la plupart des dommages.

Depuis l'arrivée de Sil Goeman il y a quatre ans, la prévention du phishing et la sensibilisation à la cybersécurité ont reçu plus d'attention au sein de l'entreprise. « En plus du déménagement de l'hébergement de la messagerie locale, nous avons davantage concentré nos efforts sur le filtrage des e-mails et les simulations de phishing manuelles », explique Sil Goeman. « Nous avons heureusement compris que les barrières techniques tout comme la formation sont nécessaires pour empêcher les cybercriminels de pénétrer dans l'entreprise. »

Avant que Bringme ne fasse appel à Phished, les simulations d'hameçonnage étaient menées à l'aide d'un logiciel open source. « Vous pouvez très bien configurer vos propres simulations avec les outils que vous pouvez trouver gratuitement sur GitHub, par exemple. En revanche, il vous faut trois à quatre heures de travail par simulation pour tout configurer. Ensuite, vous devez encore faire l'analyse, gérer les conséquences et former les employés qui ont été piégés.

La mise en place de telles simulations figurait donc rarement parmi mes priorités. Il y avait toujours d’autres choses urgentes qui exigeaient mon attention. Finalement, nous réalisions une simulation tous les mois ou tous les deux mois. », explique Sil Goeman.

Malgré ces simulations régulières, les mesures initiales de Phished ont enregistré un taux de phishing de 25 %. « Les simulations de Phished ont mis en avant un taux qui était supérieur à celui que nous avions enregistré par nous-mêmes », admet Goeman. « Moi-même, je suis tombé dans le panneau. Ce qui est une bonne chose : nous avons délibérément choisi de rendre les choses aussi difficiles que possible, avec des e-mails d'hameçonnage envoyés le week-end et après les heures de travail. Et avec des contenus sensibles (comme des rapports de licenciement, ndlr)… Car les méchants sont prêts à tout. »

L'entreprise a cette fois bien progressé depuis le début des simulations de Phished. Selon les simulations récentes, le taux de phishing était descendu à 5 % en moyenne. « Effectivement, nous nous améliorons. A l'exception de quelques récalcitrants… », confirme Goeman. « Heureusement, la Phished Academy est là pour ceux qui ont besoin d'un accompagnement complémentaire : elle permet un gain de temps et de travail, et offre aux collègues une formation vraiment adaptée à leur niveau. L'Academy nous aide par ailleurs à obtenir notre certification ISO. »

« Lors des premières simulations, nous avons reçu quelques réactions négatives des employés, surtout lorsque les contenus étaient sensibles. Mais tout s'est estompé rapidement, car ils ont compris l'utilité de la démarche, qu'ils prennent désormais avec fair-play. »

Pour Bringme, l'automatisation constitue clairement le plus grand avantage de Phished. Après quelques expériences négatives avec des ransomwares, l'entreprise disposait déjà d'une certaine expérience des simulations de phishing et de la formation des employés. Malgré cela, les tests initiaux de Phished ont montré qu'une grande partie de l'entreprise pouvait encore être victime de simulations très abouties.

Grâce à des simulations automatisées et personnalisées selon le destinataire, et à des outils de reporting et d'analyse approfondis, l'entreprise peut se concentrer sur les problèmes qui nécessitent davantage de travail manuel. Elle sait que ses employés continueront à bénéficier d'une attention et d'une formation adéquates sur la cybersécurité et l'hameçonnage.