La boutade est désormais bien connue : La première faille de sécurité se situe entre le clavier et l’écran. Elle n’en reste pas moins vraie. Miser à 100% sa sécurité sur des moyens techniques est illusoire. Il faut former et entrainer le personnel en permanence aux enjeux de la Cyber Sécurité.
Il est acquis que l’élément humain est souvent à l’origine de nombreuses attaques informatiques. L’efficacité des campagnes de Phishing et des ransomwares est relative, avec quelques clics sur des milliers de messages expédiés, mais elle est bien réelle.
Outre les indispensables moyens de protection technique, les nouveaux algorithmes d’intelligence artificielle, il faut former les employés à ce qu’il doivent faire en cas d’email, de SMS ou même d’appel téléphonique suspect. Les attaquants usent de toutes les ficelles pour obtenir un mot de passe ou même initier un transfert d’argent comme l’arnaque au président l’a démontré voici quelques années.
L’essor de technologie comme le Deep Fake rend tout à fait concevable l’appel d’un PDG plus vrai que nature sur Teams ou Zoom alors qu’il s’agit en fait d’un attaquant…
Face à cette menace avérée, la réaction la plus logique consiste à mener des sessions de sensibilisation en présentiel ou à distance afin de présenter les différents moyens utilisés par les attaquants et quelle doit être la conduite à tenir devant toute demande menaçant de manière plus ou moins évidente la sécurité de l’entreprise.
Des Serious Games peuvent aussi être organisés pour rendre ces cessions de formation plus interactives et augmenter leur efficacité. Il est aussi possible de simuler des attaques sur la messagerie de l’entreprise afin de vérifier l’efficacité de ces formations.
Des solutions de type Threat Coaching ou Phishing Coaching existent pour mener ces attaques internes et surtout exploiter les résultats pour proposer des actions de formation complémentaire auprès de ceux qui sont tombés dans le panneau.