Benjamin Netter est fondateur de Riot, une startup qui fait de la sensibilisation et de la formation à la cybersécurité auprès des collaborateurs des entreprises. Ce qui a commencé comme un side project alors qu’il était co-fondateur et CTO d’October – une startup du Next40 spécialisée dans les prêts en ligne aux entreprises – est devenu un projet à plein temps après un passage par le célèbre incubateur de la Silicon Valley, le Ycombinator. Désormais, Benjamin consacre son énergie à former et confronter les salariés et les marques aux cyberattaques dans un environnement sécuritaire, afin de les entraîner à déjouer des attaques futures. Geoffrey Vion, Directeur Marketing West Europe chez Contentsquare est allé l’interrogé.
Cybersécurité entreprise : qu’est ce que c’est ? Quels enjeux ?
La cybersécurité est un enjeu majeur pour les entreprises, non seulement en termes de protection de leurs systèmes informatiques et de leurs données, mais également en termes de relation avec leurs clients. Ceux ci sont de plus en plus concernés et préoccupés par la sécurité de leurs informations personnelles, telles que leurs coordonnées bancaires ou leurs données de connexion.
Les entreprises doivent donc mettre en place des mesures de sécurité robustes pour protéger les données de leurs clients, ainsi que des politiques de transparence et de communication claires pour rassurer les clients quant à la sécurité de leurs informations. Mettez bien en avant sur votre site Web votre positionnement par rapport aux données afin que vos clients passent une navigation en toute confiance, qu’ils aient accepter les cookies ou non.
Geoffrey Vion : lorsqu’on parle de cybersécurité, qu’est-ce qu’on entend ?
!
Benjamin Netter : Il y a insécurité lorsqu’une personne ou une organisation pénètre dans un ou plusieurs systèmes sans y avoir droit. La cybersécurité consiste donc à éviter les failles de ces systèmes afin de protéger les données confidentielles et d’assurer un bon fonctionnement de l’organisation.
Il faut savoir que 95 % des attaques réussies sont dues à une défaillance humaine. Chaque nouvel employé est donc une nouvelle porte d’entrée éventuelle pour les hackers. Notre objectif consiste à préparer les employés au risque à la manière d’une alerte incendie – en envoyant de faux emails de phishing par exemple – afin d’augmenter la sécurité de leur entreprise.
Quels sont les enjeux de la cybersécurité en entreprise, notamment dans la relation avec les clients ?
Les marques sont très exposées, ce qui en fait des cibles de choix pour les hackers. Ceux-ci utilisent le plus souvent le volet humain, par l’envoi d’un e-mail, d’un SMS, ou un appel téléphonique qui pousse à effectuer un virement frauduleux, à télécharger un fichier infecté, ou encore à partager des identifiants de connexion.
La cyberattaque la plus fréquente consiste en un ransomware (rançonnage en français), qui joue sur l’impact réputationnel des marques. Il suffit qu’une personne d’une entreprise clique sur un lien infesté pour que les systèmes soient bloquées et les données de l’organisation prises en otage et menacées d’être divulguées à moins de payer une rançon. Étant donné le manque à gagner à chaque journée d’immobilisation, les rançons sont généralement payées en moins de 24h. Car globalement, en cas de ransomware, une fois l’attaque effectuée il est trop tard pour agir.
Ce type d’attaque coûte en moyenne 850 000 dollars à une organisation, mais les prix peuvent varier de quelques dizaines de milliers à plusieurs millions de dollars pour les plus grandes entreprises. En effet, pour éviter l’impact réputationnel dont elles auraient du mal à se remettre, la plupart des marques choisissent un moindre mal : l’impact financier.
Pourquoi la cybersécurité doit-elle être une priorité pour les marques ?
La cybersécurité est un sujet crucial pour instaurer la confiance avec les clients d’une marque. Il est facile d’imaginer le niveau d’insatisfaction si vos données confidentielles – email, téléphone, voire pire, données bancaires – se retrouvent accessibles publiquement.
Il existe plusieurs niveaux de filtres en matière de cybersécurité. Un premier niveau est constitué d’un premier système anti-spam – celui de Google par exemple, qui fonctionne très bien pour des attaques génériques. Pour des attaques plus spécifiques, le filtre anti-spam n’est pas suffisant et doit être complété par la barrière humaine. Une multitude de scénarios est possible, mais quelle que soit la forme de l’attaque, en cas de brèche de données, les marques sont juridiquement responsables et les amendes peuvent s’avérer élevées si les mesures préventives (systèmes, formations, …) n’ont pas été mises en place. Sans parler de la réputation de la marque qui peut en pâtir lourdement. Ainsi, 80 % des entreprises ayant subi une cyberattaque disparaissent dans les 12 mois qui suivent l’attaque.
Comment les marques peuvent-elles aborder le sujet de la cybersécurité ?
La première étape consiste à prendre conscience de l’ampleur du risque, afin d’anticiper et de préparer au mieux ses employés. Nombreuses sont les entreprises qui sous-estiment les attaques, notamment parmi les entreprises de moins de 1 000 salariés.
En ce moment, de nombreuses attaques visent les réseaux sociaux des marques, notamment les comptes Instagram, qui sont détournés et revendus sur le marché secondaire. Les marques peuvent se retrouver privées de leur réseau pendant des mois. En simulant une attaque par e-mail, Riot aide les employés à identifier les emails frauduleux et à s’en prémunir en cas de réelle attaque.
Cybersécurité entreprise : comment les marques devraient-elles communiquer à ce sujet ?
Les marques ne communiquent sur le sujet de la cybersécurité qu’en cas de problème avéré – lorsque c’est trop tard et que la confiance est perdue de la part des clients. Le seul moyen d’aborder ce sujet est de s’y préparer en amont, de former les collaborateurs et de les entraîner à réagir correctement en cas d’attaque.
Vous avez notamment accompagné Le Monde dans sa stratégie de cybersécurité. Pouvez-vous nous en parler ?
Le Monde fait face à une menace importante sur les questions de cybersécurité. En 2015, le groupe avait subi une attaque importante : plusieurs employés se sont fait pirater leur boîte mail suite à une attaque de phishing généralisée. En avril 2021, le groupe a décidé de mettre en place une fausse attaque de phishing pour évaluer le risque – accru avec la généralisation du télétravail. Les résultats ont été sans appel : deux tiers des collaborateurs ont ouvert l’email et nombre d’entre eux se sont fait piéger et ont partagé leurs identifiants.
Suite à ce constat, nous les avons accompagnés pour mettre en place des formations interactives et favoriser ainsi un apprentissage naturel des règles de cybersécurité.
Comment Le Monde prépare ses équipes au phishing grâce à Riot :
« On a commencé à travailler avec Riot peu après le début de la pandémie. Être en télétravail peut augmenter les risques, c’est le moment idéal pour nous attaquer. »On a décidé de lancer une fausse campagne de phishing, on a monté un faux email sur une carte de paiement ticket resto. Le résultat a été exceptionnel, dans le mauvais sens du terme. Une grosse proportion des personnes ayant cliqué a saisi ses identifiants. Riot permet d’accompagner par la suite pour que l’apprentissage soit naturel comme des formations interactives.« Dans la cybersécurité, le premier truc c’est de ne pas croire qu’on a tout bien fait et tout bien mis en place. On a énormément de progrès à faire et nos campagnes de sensibilisation ont un réel impact ».
Sacha Morard, CTO et Olivier Dumons, RSSI/Journaliste, Groupe Le Monde
Podcast CX circle by ContentsquareCX circle est le rendez-vous immanquable pour dessiner entre experts l’expérience digitale de demain. Retrouvez ici tous nos épisodes !
Podcast CX circle by ContentsquareCX circle est le rendez-vous immanquable pour dessiner entre experts l’expérience digitale de demain. Retrouvez ici tous nos épisodes !
Expert polyvalent en marketing et communication, Geoffrey Vion est VP Marketing EMEA & APJ chez Contentsquare. Il a travaillé pendant plus de 10 ans au sein du groupe Renault-Nissan, puis au sein de diverses startups Tech.