Michel Gérard, CEO de Conscio Technologies
« Le test phishing est devenu un incontournable des stratégies de sensibilisation. Bien réalisé, il peut en effet renforcer les défenses immunitaires des utilisateurs, face aux attaques de phishing. Certaines précautions sont cependant nécessaires, notamment quant à l’utilisation des marques et au risque de rejet des utilisateurs se sentant piégés. Il faut donc apporter un soin particulier au choix des scénarios employés afin d’éviter ces deux écueils. »
Jean-Baptiste Roux, VP International Sales chez SoSafe
« L’objectif d’une campagne de testing n’est pas de sanctionner les utilisateurs qui cliquent sur le message. Il faut les accompagner pour qu’ils ne répètent pas l’erreur. Une fenêtre vient expliquer à l’utilisateur que le message faisait partie d’un exercice, vient le rassurer en lui assurant qu’il n’y aurait aucune conséquence. Ensuite, on lui donne quelques conseils pour éviter ce genre de maladresse à nouveau : lire attentivement l’url, vérifier le logo et surtout signaler le message à la DSI en cas de doute. La DSI peut en profiter pour pousser des formations auprès de ces utilisateurs encore trop imprudents. »
Thomas Kerjean, Directeur Général de MailinBlack
« Dire à un utilisateur qu’il s’est fait piéger sur du typosquatting ne lui apprendra rien, mais lui expliquer qu’il répond à tel ou tel registre plus que la moyenne et lui proposer des exemples de message auxquels il sera sensible est un moyen de lutter contre les techniques de Social Engineering classiques. Quand on parle de spear phishing, on collecte de la donnée personnelle sur un individu pour pouvoir lui soutirer des données ou de l’argent. Le social engineering reste l’une des méthodes de collecte de données possible.
Au-delà des moteurs d’IA qui travaillent sur des critères sociaux-démographiques, il faut disposer de moteurs qui exploiteront les critères neuropsychologiques car c’est là que se situe aujourd’hui la zone de progression la plus importante en matière de lutte contre le social engineering. »