Même les employés hautement qualifiés peuvent se faire hameçonner : Ipcos
Les mesures initiales ont amené Ipcos à de sévères conclusions : près de la moitié des employés hautement qualifiés se sont révélés vulnérables au phishing. A peine quatre mois plus tard, le taux de phishing était descendu à 13 %.
Fiche descriptive
En matière de phishing, tout peut aller très vite. Dans le bon comme dans le mauvais sens... La société Ipcos, fournisseur de services d'ingénierie, en a fait l'expérience en août 2020.
Prise de conscience
Un seul employé « hameçonné » a déclenché l'envoi de messages suspects à tous ses collègues. La faille fut toutefois repérée à temps pour intercepter et neutraliser le pirate informatique, avant que des données ne puissent être divulguées. Pour l'entreprise, les dommages étaient très limités, mais ils auraient pu être bien pires.
« Heureusement, la sonnette d'alarme a retenti au niveau de la direction », explique Bjorn Vandecraen, APC Technology Developer chez Ipcos. « Il y a eu une prise de conscience du besoin pour le personnel d'être informé et accompagné. Nous avons été approchés par Phished peu de temps après. Et nous avons rapidement lancé les simulations qui forment désormais régulièrement nos employés à la cybersécurité. »
Un bénéfice évident
Si les choses avaient rapidement mal tourné, elles ont très vite évolué dans le bon sens : en à peine quatre mois, Ipcos a engrangé d'évidents bénéfices en matière de cybersensibilisation. Le taux d'hameçonnage de l'entreprise était descendu à 13 % en février 2021, alors que 45 % des collaborateurs avaient été piégés lors des mesures initiales. « Cette fois, les simulations étaient de très haut niveau », ajoute Bjorn Vandecraen. « Le contenu faisait part d'informations auxquelles seul un initié pouvait avoir accès, ce qui augmentait le sentiment de confiance. Malgré cela, nous avons constaté que beaucoup d'employés ont eu le bon réflexe, et n'ont pas répondu. »
Lors de la mesure initiale, il avait pourtant été décidé d'avertir tous les employés quelques jours à l'avance de l'envoi d'un test d'hameçonnage. Est-ce la preuve que tout le monde, indépendamment du poste ou du diplôme, est vulnérable au phishing ? « Je pense que cela a beaucoup à voir avec la prise de conscience », déclare Peter Van Overschee, CEO d'Ipcos. « Si le sujet est connu de tous, il n'était que très peu évoqué... Aujourd'hui, nous constatons que le phishing anime davantage les conversations et que les personnes sont plus prudentes lorsqu'elles consultent leur courrier électronique : chaque message est désormais soigneusement examiné. »
Cultiver une culture positive
« Après le premier choc, tout le monde est désormais plus conscient des conséquences du phishing », confirme Peter Van Overschee. « Nous veillons bien sûr également à ce que chacun puisse continuer à communiquer, en confiance, lorsque les messages sont légitimes. La dernière chose que nous souhaitons, c'est que nos employés arrêtent d'ouvrir des e-mails parce qu'ils ont l'air trop suspects. Nous travaillons donc avecune approche positive. Si quelqu'un tombe dans le piège d'une simulation, il n'est jamais montré du doigt. »
« Cette approche permet de discuter du sujet, tout en le gardant stimulant », ajoute Bjorn Vandecraen. « Nous informons notamment nos collaborateurs des chiffres généraux par département. Tous les autres chiffres restent anonymes, également pour la direction. Notre message est que nous pouvons nous améliorer, et non celui de la punition. Les réactions sont d'ailleurs très bonnes. »
Mieux vaut prévenir que guérir
Nous disposions déjà de la double authentification et discutions régulièrement d'hameçonnage lors de nos réunions, mais c'est ce contact régulier avec les simulations qui fait la différence.
Outre les rapports, ce sont surtout les simulations qui ont ouvert les yeux des collaborateurs. Peter Van Overschee : « Un jour, nous avons été confrontés à une fraude au CEO : quelqu'un se faisant passer pour moi a essayé de détourner de grosses sommes d'argent via l'ingénierie sociale et le typosquatting (technique d'hameçonnage qui utilise un nom légèrement détourné - Ipcas au lieu d'Ipcos, par exemple). Cela a choqué tout le monde, mais il semble que la mémoire humaine ne soit pas en mesure de maintenir cette vigilance.
« C'est en restant régulièrement en contact avec ces tentatives d'hameçonnage que nous maintenons l'attention et pouvons détecter les dangers », conclut Peter Van Overschee. « Nous disposions déjà de la double authentification et discutions régulièrement d'hameçonnage lors de nos réunions, mais c'est ce contact régulier avec les simulations qui fait la différence. »
Conclusions
Après plusieurs incidents liés à de véritables tentatives de phishing, Ipcos a décidé de mettre en place un programme structurel de formation et d'accompagnement de ses 70 collaborateurs. La sensibilisation à la cybersécurité a considérablement augmenté après seulement quatre mois d'utilisation de la plateforme de Phished. Et le nombre de tentatives de phishing réussies a considérablement diminué.
Ipcos a opté pour une approche positive et constructive vis-à-vis de ses collaborateurs. L'accompagnement constitue un élément central. Les employés ne reçoivent pas d'informations personnelles, mais ont une vue d'ensemble sur le score général de l'entreprise. La culture qui se développe met en avant la cybersécurité et incite ainsi chacun à faire mieux.