Avec un effectif d’un peu plus de 40 personnes, la société rouennaise AvantdeCliquer, créée en 2017, est spécialisée dans les solutions de cyber prévention. A l’occasion du salon Expoprotection 2022, elle a reçu une mention spéciale pour son programme de sensibilisation au phishing basé sur l’apprentissage par l’action. Interview de l’un de ses co-fondateurs, Carl Hernandez.
Pourquoi avoir choisi l’apprentissage par l’action pour lutter contre le phishing ?
Aujourd’hui, 80 % des cyberattaques proviennent de courriels d’hameçonnage qu’un utilisateur vigilant aurait pu déjouer. C’est de cette observation que nous avons lancée en 2017 Avant de Cliquer. Et créé, dans la foulée, la solution que vous connaissez aujourd’hui. Avant, j’étais cost killer (personne chargée de réduire les coûts dans une entreprise) et je me suis rendu compte par mes expériences qu’à tout moment un malware ou un clic anodin pouvait anéantir mon travail. Quant à Stéphane Tabia, gérant d’un site e-commerce, ce fut le même constat : il était urgent et important d’être sensibilisé à cette problématique, qui à tout instant, pouvait compromettre l’entreprise. Par ailleurs, les tests de phishings existent depuis la création des malwares. En revanche, ils ont toujours été mise en place de façon ponctuelle. Au moment de la création de notre société, il n’existait aucune solution de formation sur le marché qui venait sensibiliser et changer de façon pérenne le comportement des utilisateurs.
Votre solution est un programme de sensibilisation à la cybersécurité. En quoi consiste-t-elle exactement ?
Afin de protéger les organisations des cyberattaques par le phishing, nous avons conçu une solution qui a pour but de sensibiliser individuellement les salariés de façon durable. Cette dernière s’articule autour de trois axes. D’abord, par l’apprentissage théorique : les employés disposent d’une plateforme d’e-learning, de modules vidéo sur la cybersécurité et le RGPD (Règlement européen sur la protection des données à caractère personnel), d’écrans de veille sensibilisants, ainsi que d’un bouton d’alerte phishing qui remonte l’information en cas de suspicion d’e-mails frauduleux. Ensuite, un apprentissage par l’action va les mettre à l’épreuve : notre algorithme intelligent va envoyer des mails de phishing ciblés qui imitent les stratégies des pirates. En cas de manque d’attention, l’utilisateur bénéficiera instantanément d’une formation adaptée à son niveau de connaissance. Enfin, un chargé de compte dédié l’accompagnera pas à pas dans son acquisition de nouvelles compétences. Le tout, se déroule sur un minimum de 12 mois : c’est le temps minimal nécessaire pour développer des réflexes de vigilance et transformer à long terme le comportement de l’utilisateur.
Quel est le pourcentage de réussite des salariés après leur formation E-learning ?
Les chiffres parlent d’eux même. Nous sensibilisons aujourd’hui plus de 600 000 utilisateurs sur notre plateforme. En trois mois, nous divisons déjà par deux le taux de clic en interne. Après douze mois d’exercice, nous évaluons un taux de clic qui varie entre 1 à 4 % en prenant en compte le renouvellement des effectifs de salariés sur une période donnée (turnover). Ce qui divise finalement par 10 le risque d’ouvrir un courriel malveillant.
Vous proposez un bouton d’alerte phishing. Est-il permanent et conçu pour un usage en particulier ?
Le Bouton Alerte Phishing a été développé pendant la crise sanitaire de la Covid-19. Il fait le lien entre le service informatique et l’utilisateur en cas de suspicions d’e-mails frauduleux. Et une fois mis en place, le bouton d’alerte phishing est utilisé par 30 % des utilisateurs, ce qui multiplie les sentinelles sur le terrain. En effet, ce bouton a été créé sur le principe qu’être vigilant et ne pas agir sur un e-mail potentiellement dangereux est une bonne chose, mais devenir acteur de la cybersécurité de l’organisation, c’est encore mieux. C’est pourquoi les utilisateurs ont la possibilité, en deux clics, de remonter toute suspicion d’hameçonnage dans le système de ticketing de l’équipe informatique. Néanmoins, ce bouton n’est pas permanent : pour que les entreprises puissent en bénéficier, elles doivent y souscrire chaque année.
Lorsque nous avons commencé, il était difficile d’évoquer cette problématique. Et pour cause, les médias en parlaient peu. De surcroît, les clients pensaient que les solutions techniques déployées suffisaient à protéger l’organisation. Malheureusement, aucune solution technique n’est en mesure de protéger 100 % les systèmes informatiques. En effet, l’humain est le facteur le plus à risque. Au fil des années, les fraudeurs ont remarqué qu’il était bien plus simple d’attaquer les utilisateurs via des campagnes de phishing qu’en passant par des machines. Aujourd’hui, tous les secteurs d’activité sont touchés, qu’ils soient publics ou privés. Nous travaillons donc avec chacun de ces secteurs afin de les sensibiliser le plus tôt possible.
Propos recueillis par Maxence Rysmann