Fost Plus réduit fortement les clics sur le phishing en quelques mois seulement

« Chez Fost Plus, nous avons toujours été conscients des dangers potentiels en ligne, » explique Jeroen Van de Sande, IT Manager chez Fost Plus. « Nous investissions déjà du temps et de l’énergie dans la sensibilisation de nos collaborateurs à la cybersécurité, mais il ne s’agissait jamais de campagnes ou de formations structurées. Nos efforts produisaient peu de résultats : nous constations que les collaborateurs continuaient à cliquer sur des liens dangereux ou à saisir des données confidentielles.

Heureusement, nous n’avons jamais subi d’incident cyber, » poursuit Van de Sande, « mais nous préférons agir sur les risques potentiels plutôt que d’attendre qu’un incident survienne. Avec la crise sanitaire, nous avons vu le volume de mails de phishing augmenter. Il était grand temps d’agir. »

Le phishing s’est révélé être un problème difficile à mesurer chez Fost Plus. Les administrateurs réseau étaient conscients de l’augmentation des attaques, mais les résultats d’un test de phishing mené par Phished furent inattendus : 49 % des collaborateurs ayant ouvert le mail se sont laissés piéger. Une surprise pour Fost Plus, mais un résultat fréquent lors des simulations initiales réalisées par Phished.

Un signal d’alarme ? « Nous avons effectivement été surpris par ce résultat, bien qu’il soit dans la moyenne des campagnes Phished, » commente Van de Sande. « Les campagnes sont conçues de façon ingénieuse pour maximiser le nombre de clics. Cela nous a fait prendre conscience qu’une telle formation avait toute sa place dans notre organisation. »

Lors du dernier test à grande échelle, le taux de clic était déjà descendu à 11 %. Une baisse jugée satisfaisante par Van de Sande : « Voir une baisse aussi importante en six mois nous satisfait pleinement : la formation a clairement un impact. Nos collaborateurs sont désormais mieux sensibilisés aux risques cyber. »

Que 11 % des collaborateurs cliquent encore après six mois n’est pas un hasard : Fost Plus adopte volontairement une approche directe, en proposant à ses collaborateurs les simulations les plus difficiles – car les hackers, eux, n’ont aucune pitié. « Nous utilisons par exemple des simulations autour des “mises à jour des mesures COVID-19”, » précise Van de Sande.

« De plus, nos collaborateurs n’ont pas été prévenus lors de la première simulation. Nous voulions miser sur l’effet de surprise, » poursuit-il. « Cela a suscité de nombreuses réactions. Quelques jours plus tard, nous avons envoyé un email expliquant notre collaboration avec Phished, mais nous évitons d’y consacrer trop d’attention. Nous voulons que les prochaines simulations conservent cet effet de surprise, afin de mesurer les réactions de manière aussi réaliste que possible. »

Même si Fost Plus n’a jamais été victime d’une fuite de données, le niveau de cyberconscience de nombreux collaborateurs restait insuffisant. Grâce à des simulations régulières et automatisées, la vulnérabilité au phishing a été considérablement réduite. L’ensemble de l’organisation a rapidement été convaincu de l’efficacité de la plateforme de formation.

Aujourd’hui, la sensibilisation à la cybersécurité est beaucoup plus présente chez Fost Plus, ce qui se traduit par de meilleurs réflexes face au phishing et autres menaces, ainsi qu’un meilleur usage du bouton interne de signalement des spams – un atout indéniable pour fluidifier le travail du Service Desk IT.