Publié le 28 juin 2021 ...
Savez-vous que, pendant que les entreprises continuent à construire des murs d’enceinte toujours plus haut, toujours plus épais, pour se protéger des pirateries numériques, les hackeurs ont trouvé « le » moyen d’entrer incognito dans nos forteresses ?
Via les e-mails et SMS que chacun reçoit, ils jettent des hameçons auxquels des salariés trop sûrs d’eux, ou naïfs, viendront morde.
L’image du pêcheur qui capture un poisson avec un hameçon caché dans un asticot s’arrête là. En effet, ce qui est douloureux pour le poisson, passe la plupart du temps inaperçu chez le salarié !
Ce cocktail -fait, d’un côté de confiance et de naïveté et, de l’autre, d’absence de sensation- a conduit des DRH à construire et diffuser des sensibilisations courtes et répétitives. Humoristiques, simples dans leurs messages, elles cherchent l’efficience avec des réalités simples comme celles qui suivent.
Contrairement à ce que l’on pourrait imaginer, ce ne sont pas les salariés les plus âgés qui seront les plus simples à leurrer et, a contrario, ce n’est pas parce qu’on est né avec avec une tablette au bout des doigts ou une adresse mail que l’on sera extrêmement vigilant. L’étude des phishings ‘‘réussis’’ montrent qu’ils transitent majoritairement par des millenials. Leur technophilie les rend trop confiants dans leur capacité à maîtriser le monde numérique, à tort hélas. Voilà donc un premier sujet à traiter et cela peut l’être avec humour.
Vous ne connaissez pas le spear phishing ? C’est le hameçonnage individuel, celui qui va forcément être tenté avec vous. Cela a d’autant plus de chance de réussir, qu’avec le télétravail, -les contacts directs, les discussions à bâtons rompus devant la machine à café se sont faits rares. Aussi, il n’est pas inutile d’insister et insister encore- (utilisation de pop-up, par exemple), sur le fait que toute demande de mot de passe, d’identifiant, doit déclencher un appel, voire un mail séparé de vérification, auprès du demandeur.
Ici, je reviens aux millenials qui se font fort de jongler avec les tâches numériques. Je regarde du coin de l’œil la réunion zoom, tout en rédigeant un mail… rédaction que j’interromps, le temps de répondre à un SMS de ma collègue du service informatique… Et là, catastrophe ! En effet, à travailler dans une certaine forme d’urgence, en tentant de répartir son attention sur plusieurs actions, les enjeux de l’une d’entre elles seront mal apréciés. Si c’est un phishing à quelques centaines de milliers d’euros, cela pouvait attendre …
Nous ne le savons pas forcément, mais un hameçonnage n’est pas forcément une action « one shot » destinée à immédiatement utiliser notre crédulité.
En effet, et c’est souvent le cas, notre pirate va chercher de la matière sur nos réseaux sociaux pour mieux nous piéger. Il va analyser ce qu’il trouve et se l’approprier de manière à habiller sa demande de souvenirs, par exemple, de manière à créer une proximité avec nous, un sentiment de familiarité, bref pour mieux nous leurrer.
Parmi les meilleurs matériaux, il y a évidemment les noms de collègues, mais aussi nos conversations avec eux. Il ne lui reste ensuite plus qu’à faire référence à un événement partagé et nos défenses tombent. Ne reste plus qu’à obtenir de nous ce que, objectivement, nous ne donnerions jamais à un inconnu !
D’autres pistes de sensibilisation peuvent être également explorées, mais celles énumérées et rapidement illustrées ici, couvrent déjà un large spectre de dangers et thèmes de sensibilisation utilisés par des DRH.
Ensuite, pour les organisations qui ont envie d’aller plus loin avec des actions plus marquantes, il y a l’organisation de simulations de crises celles-ci peuvent être précédées de l’invitation d’un « white hat », ou hackeur éthique. Succès assuré pour une telle formation/action pour la DRH.
Essayez …