Psst...Want to see content specific to your location?

Cybersécurité : la confiance des clients à l’épreuve des défaillances humaines

Geoffrey Vion

21 octobre 2021 | 4 minutes - Temps de lecture

Benjamin Netter est fondateur de Riot, une startup qui fait de la sensibilisation et de la formation à la cybersécurité auprès des collaborateurs des entreprises. Ce qui a commencé comme un side project alors qu’il était co-fondateur et CTO d’October – une startup du Next40 spécialisée dans les prêts en ligne aux entreprises – est devenu un projet à plein temps après un passage par le célèbre incubateur de la Silicon Valley, le Ycombinator. Désormais, Benjamin consacre son énergie à former et confronter les salariés et les marques aux cyberattaques dans un environnement sécuritaire, afin de les entraîner à déjouer des attaques futures. Geoffrey Vion, Directeur Marketing West Europe chez Contentsquare est allé l’interrogé.

Geoffrey Vion : Lorsqu’on parle de cybersécurité, qu’est-ce qu’on entend ? 

benjamin Netter-RiotBenjamin Netter : Il y a insécurité lorsqu’une personne ou une organisation pénètre dans un ou plusieurs systèmes sans y avoir droit. La cybersécurité consiste donc à éviter les failles de ces systèmes afin de protéger les données confidentielles et d’assurer un bon fonctionnement de l’organisation. 

Il faut savoir que 95 % des attaques réussies sont dues à une défaillance humaine. Chaque nouvel employé est donc une nouvelle porte d’entrée éventuelle pour les hackers. Notre objectif consiste à préparer les employés au risque à la manière d’une alerte incendie – en envoyant de faux emails de phishing par exemple – afin d’augmenter la sécurité de leur entreprise.

Quels sont les enjeux de la cybersécurité, notamment vis-à-vis des clients des marques ?

Les marques sont très exposées, ce qui en fait des cibles de choix pour les hackers. Ceux-ci utilisent le plus souvent le volet humain, par l’envoi d’un e-mail, d’un SMS, ou un appel téléphonique qui pousse à effectuer un virement frauduleux, à télécharger un fichier infecté, ou encore à partager des identifiants de connexion.

La cyberattaque la plus fréquente consiste en un ransomware (rançonnage en français), qui joue sur l’impact réputationnel des marques. Il suffit qu’une personne d’une entreprise clique sur un lien infesté pour que les systèmes soient bloquées et les données de l’organisation prises en otage et menacées d’être divulguées à moins de payer une rançon. Étant donné le manque à gagner à chaque journée d’immobilisation, les rançons sont généralement payées en moins de 24h. Car globalement, en cas de ransomware, une fois l’attaque effectuée il est trop tard pour agir. 

Ce type d’attaque coûte en moyenne 850 000 dollars à une organisation, mais les prix peuvent varier de quelques dizaines de milliers à plusieurs millions de dollars pour les plus grandes entreprises. En effet, pour éviter l’impact réputationnel dont elles auraient du mal à se remettre, la plupart des marques choisissent un moindre mal : l’impact financier.

Pourquoi la cybersécurité doit-elle être une priorité pour les marques ?

La cybersécurité est un sujet crucial pour instaurer la confiance avec les clients d’une marque. Il est facile d’imaginer le niveau d’insatisfaction si vos données confidentielles – email, téléphone, voire pire, données bancaires – se retrouvent accessibles publiquement.

Il existe plusieurs niveaux de filtres en matière de cybersécurité. Un premier niveau est constitué d’un premier système anti-spam – celui de Google par exemple, qui fonctionne très bien pour des attaques génériques. Pour des attaques plus spécifiques, le filtre anti-spam n’est pas suffisant et doit être complété par la barrière humaine. Une multitude de scénarios est possible, mais quelle que soit la forme de l’attaque, en cas de brèche de données, les marques sont juridiquement responsables et les amendes peuvent s’avérer élevées si les mesures préventives (systèmes, formations, …) n’ont pas été mises en place. Sans parler de la réputation de la marque qui peut en pâtir lourdement. Ainsi, 80 % des entreprises ayant subi une cyberattaque disparaissent dans les 12 mois qui suivent l’attaque. 

Comment les marques peuvent-elles aborder le sujet de la cybersécurité ?

La première étape consiste à prendre conscience de l’ampleur du risque, afin d’anticiper et de préparer au mieux ses employés. Nombreuses sont les entreprises qui sous-estiment les attaques, notamment parmi les entreprises de moins de 1 000 salariés.

En ce moment, de nombreuses attaques visent les réseaux sociaux des marques, notamment les comptes Instagram, qui sont détournés et revendus sur le marché secondaire. Les marques peuvent se retrouver privées de leur réseau pendant des mois. En simulant une attaque par e-mail, Riot aide les employés à identifier les emails frauduleux et à s’en prémunir en cas de réelle attaque. 

Comment les marques devraient-elles communiquer à ce sujet ?

Les marques ne communiquent sur le sujet de la cybersécurité qu’en cas de problème avéré – lorsque c’est trop tard et que la confiance est perdue de la part des clients. Le seul moyen d’aborder ce sujet est de s’y préparer en amont, de former les collaborateurs et de les entraîner à réagir correctement en cas d’attaque.

Vous avez notamment accompagné Le Monde dans sa stratégie de cybersécurité. Pouvez-vous nous en parler ?

Sacha Morard- Le Monde

Le Monde fait face à une menace importante sur les questions de cybersécurité. En 2015, le groupe avait subi une attaque importante : plusieurs employés se sont fait pirater leur boîte mail suite à une attaque de phishing généralisée. En avril 2021, le groupe a décidé de mettre en place une fausse attaque de phishing pour évaluer le risque – accru avec la généralisation du télétravail. Les résultats ont été sans appel : deux tiers des collaborateurs ont ouvert l’email et nombre d’entre eux se sont fait piéger et ont partagé leurs identifiants. 

Suite à ce constat, nous les avons accompagnés pour mettre en place des formations interactives et favoriser ainsi un apprentissage naturel des règles de cybersécurité.

Comment Le Monde prépare ses équipes au phishing grâce à Riot :

« On a commencé à travailler avec Riot peu après le début de la pandémie. Être en télétravail peut augmenter les risques, c’est le moment idéal pour nous attaquer. »
On a décidé de lancer une fausse campagne de phishing, on a monté un faux email sur une carte de paiement ticket resto. Le résultat a été exceptionnel, dans le mauvais sens du terme. Une grosse proportion des personnes ayant cliqué a saisi ses identifiants. Riot permet d’accompagner par la suite pour que l’apprentissage soit naturel comme des formations interactives.
« Dans la cybersécurité, le premier truc c’est de ne pas croire qu’on a tout bien fait et tout bien mis en place. On a énormément de progrès à faire et nos campagnes de sensibilisation ont un réel impact ».

Sacha Morard, CTO et Olivier Dumons, RSSI/Journaliste, Groupe Le Monde