4 méthodes choc pour sensibiliser à la cybersécurité, du croissant piégé au faux QR code du CSE
Certes, lancer une campagne de phishing semble souvent être la méthode la plus simple pour sensibiliser les salariés à la cybersécurité. Un e-mail est envoyé à tous les collaborateurs, les invitant à cliquer sur un lien malveillant. Ceux qui tombent dans le piège reçoivent alors un avertissement, leur indiquant des conseils pour ne plus réitérer leur erreur. C'est simple, rapide, efficace, et les dirigeants de l'entreprise qui la déploie ont alors l'impression d'avoir accompli leur obligation en la matière.
Bien qu'utile et nécessaire, ce type d'action n'est toutefois pas suffisant. "Pour être réussie, une campagne de sensibilisation doit provoquer un choc de prise de conscience chez les participants, un ancrage mémoriel", observe David Szniten, directeur du service cybersécurité de Klee Group, une entreprise de service numérique française (ESN). Selon lui, elle doit sortir des sentiers battus et surprendre les salariés pour les pousser à modifier radicalement leur posture cyber. Il existe plusieurs programmes originaux le permettant.
L'ingénierie sociale
Certaines entreprises recourent à des formateurs qui sensibilisent au risque cyber en pratiquant l'ingénierie sociale. Et pour cause : "Le choc de prise de conscience émerge grâce à une interaction entre les participants et les formateurs. Les formateurs vont comprendre les métiers des collaborateurs, se mettre à leur place, adapter leur discours et créer des scénarios et situations dans lesquels ils vont pouvoir s'immerger et s'identifier sans difficultés", détaille David Szniten, qui est aussi formateur pour Klee Group.
Parmi ces scénarios, il en existe un que le formateur affectionne particulièrement, tant il le trouve efficace. Il consiste à récolter le maximum d'informations sur les salariés à leur insu pour en déduire leurs différents mots de passe : "Pour y parvenir, on se lance dans des discussions d'apparence informelle avec les salariés. Un jour, avec mon équipe, on s'était placé sur le parking d'une entreprise, derrière un stand dédié à la cybersécurité. Les salariés venaient discuter avec nous. On leur demandait des informations personnelles comme le nom de leur conjoint ou conjointe, de leur animal de compagnie, leur année ou leur ville de naissance, etc. Grâce à ces informations, nous devinions leurs mots de passe en direct et nous leur communiquions."
Le piège du QR Code
Il est aussi possible de piéger les salariés en les poussant à scanner un QR code piégé. C'est ce que permet la solution Cyber Coach de Mailinblack, entreprise spécialisée dans la sensibilisation à la cybersécurité. Celle-ci fournit à ses clients des affiches et des encarts contenant le QR code piégé qu'ils peuvent imprimer.
"Mailinblack produit des affiches et encarts de types Colosimo mis à disposition dans sa solution. Les affiches sont régulièrement mises à jour. Les directeurs des systèmes d'information les impriment et les fixent aux murs de l'entreprise. Celles pendant les Jeux Olympiques ont très bien fonctionné. Elles indiquaient que le comité social et économique de l'entreprise offrait des places pour la finale d'une compétition sportive. De manière générale, les affiches du CSE fonctionnent très bien, surtout lors des fêtes de fin d'année. Elles jouent sur l'appât du gain, efficace durant cette période", indique Cassie Leroux, chief operating officer chez Mailinblack. "Quand le salarié scanne le QR code, cela le renvoie sur une page qui lui demande de renseigner des informations comme ses informations bancaires. S'il tombe dans le piège, une page s'affiche pour l'en avertir et lui indiquer ce qu'il aurait dû faire pour l'éviter."
Le croissantage
Autre pratique qui se répand dans les entreprises, le croissantage. Elle consiste à piéger le salarié imprudent qui s'éloigne de son ordinateur plusieurs minutes sans le fermer tout en laissant sa session ouverte. Profitant de son absence, un de ses collègues se l'approprie pour envoyer un e-mail avec l'identité de l'imprudent. Cet e-mail indique à tous les collaborateurs de l'entreprise qu'il apportera les croissants le lendemain matin.
"Le croissantage est une pratique de plus en plus répandue, surtout dans les entreprises de la tech. Chez le salarié piégé, cela provoque un sentiment d'intrusion, mais avec de l'humour. Cela l'incite à être plus vigilant à l'avenir et prendre conscience qu'il faut fermer son ordinateur quand il s'absente. Chez Mailinblack, nous pratiquons le croissantage. Toutefois, à force, nous avons de moins en moins le droit aux croissants le matin", plaisante Cassie Leroux.
Dans la tête de l'attaquant
Une autre méthode évite toutefois de piéger les salariés. "Je suis contre les techniques de sensibilisation qui piègent les salariés. Elles ne sont pas adaptées à tous. Le profil psychologique du bon élève qui ne veut pas faire de faute risque de se braquer après avoir été piégé", affirme Philippe Luc, co-fondateur d'AnozrWay. C'est pourquoi la pépite française spécialisée dans l'open source intelligence (Osint) a développé l'application AYSelfProtect. Celle-ci permet aux collaborateurs de savoir quelles sont leurs informations personnelles qui sont exposées publiquement ou qui ont fuité sur le darkweb.
Pour cela, le collaborateur crée un compte dans l'application et y insère son adresse e-mail professionnelle. L'application lui indique alors ses informations recueillies sur le darkweb : mots de passe, adresse du domicile, numéro de passeport, de sécurité sociale, date d'anniversaire, informations bancaires, etc. Autant de données permettant à des pirates de lui causer d'importants préjudices comme l'usurpation d'identité.
L'application accorde aussi une note sur 100 au collaborateur, mesurant son niveau d'hygiène cyber, et l'encourage à corriger ces failles en lui recommandant, par exemple, de changer ses mots de passe. "Finalement, l'application met le collaborateur dans la peau d'un attaquant. Toutefois, l'objectif n'est pas de lui déballer de l'Osint, mais de l'encourager à passer à l'action grâce aux recommandations. Dans 70% des cas, les collaborateurs passent à l'action en corrigeant les failles indiquées dans les 48 heures suivant l'installation de l'application".