Lancée il y a huit mois, Arsen s’érige en véritable bouclier contre le phishing (ou hameçonnage), particulièrement dévastateur dans le monde de l’entreprise, où le personnel est rarement armé et formé à déjouer les pièges tendus par les pirates informatiques. Des techniques frauduleuses destinées à leurrer une personne pour l’inciter à communiquer des données sensibles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.
Thomas Le Coz, co-fondateur de la jeune pousse, revient pour Cityramag sur les tenants et aboutissants de ce projet :
Cityramag : Pouvez revenir s’il vous plaît sur la genèse de l’aventure Arsen :
Thomas Le Coz : Nous sommes partis d’une approche simple focalisée sur l’humain. Dans 91% des cas, les hackers piratent les entreprises en se servant de leurs collaborateurs. En conséquence, afin de mieux se protéger contre les cybermenaces, ces derniers doivent eux aussi lutter contre les hackers. Malheureusement, les techniques de sensibilisation déployées aujourd’hui ne suffisent pas.
D’une part, les savoirs théoriques ne se transposent pas en pratique, lorsque le collaborateur est manipulé. D’autre part les menaces évoluent continuellement et on ne peut se contenter d’opérations de sensibilisation ponctuelles. C’est la vision d’Arsen : proposer des solutions qui permettent d’entraîner en continu, de manière efficace et concrète les collaborateurs afin d’augmenter la résilience des entreprises face aux attaques qui ciblent leurs salariés.
« Sensibiliser les élèves dès les cours de technologie au collège »
Cityramag : Avant d’aborder la question des salariés, pensez-vous que les citoyens restent sous-informés sur cette problématique. Et si oui, que peut-on faire pour enrayer cette spirale infernale ?
T. LC : C’est un secret de Polichinelle, les citoyens, par leur hétérogénéité de profil, d’âge et de connaissance du monde informatique, sont des proies de choix pour les hackers. Comme pour les entreprises, les conséquences peuvent être désastreuses car le digital est partout.
Je pense donc qu’introduire la sensibilisation des élèves dès les cours de technologie au collège serait un préalable intéressant pour obtenir des résultats à moyen et long terme et éviter de nombreux problèmes. Ces cours doivent être accompagnés de travaux pratiques pour qu’il y ait une acquisition non seulement de connaissances, mais également de réflexes face à ces tentatives d’attaque.
« Lorsqu’une entreprise subit une cyberattaque, son image est forcément impactée »
Cityramag : Quels sont les différents risques liés au phishing pour les entreprises ?
T. LC : Primo, il y a le risque opérationnel. Une chaîne d’assemblage ou une chaîne logistique peut se retrouver inactive si les fichiers de configuration des automates sont chiffrés par un rançongiciel. Un spyware peut être installé de façon silencieuse sur le réseau interne afin d’espionner l’activité de l’entreprise et récupérer des données sensibles. À la suite d’une attaque de phishing, la fuite de données sensibles représente également un risque. Des informations sur le positionnement commercial de l’entreprise ou des appels d’offres en cours sont des données précieuses pour des concurrents qui peuvent alors récupérer des contrats vitaux pour la société.
Secundo, il y a un risque réputationnel. Lorsqu’une entreprise subit une cyberattaque, son image est forcément impactée. Si la communication de crise est mal gérée, les clients peuvent perdre confiance sur la sécurité de la société. Mais aussi sa capacité à opérer dans le cadre des contrats qu’ils ont avec elle. Fidéliser ou attirer des talents devient aussi plus difficile lorsqu’une entreprise fait la une des informations à propos d’une faille de sécurité ou la publication d’informations personnelles de ses collaborateurs.
« Des sanctions juridiques peuvent survenir si la CNIL considère que l’entreprise a été négligente »
Tertio, on ne peut certainement pas occulter le risque financier. Dans une cyberattaque, il n’y a pas que la rançon du ransomware qui va coûter de l’argent mais aussi la justice. Des sanctions juridiques peuvent survenir si l’attaque révèle un manque de sécurité numérique menaçant les données des clients. Les fichiers ou logiciels d’une entreprise peuvent être chiffrés via un ransomware, une rançon est alors demandée par les opérateurs si elle souhaite récupérer la clé de déchiffrement.
Enfin, nous arrivons à l’impact juridique du phishing. Des sanctions juridiques peuvent en effet survenir si la CNIL considère que l’entreprise a été négligente dans la sécurisation de ses données. Quelles que soient leur taille et leur activité, celles-ci doivent s’organiser pour être en conformité en matière de protection des données. En 2018, Uber avait d’ailleurs été condamné à payer 400 000 euros d’amende à la suite d’une fuite de données sensibles qu’avait subi l’entreprise. La commission nationale avait estimé qu’Uber négligeait la protection des données de ses utilisateurs.
« Notre solution permet aux salariés d’être sensibilisés et corrigés très rapidement lorsqu’ils commettent une erreur »
Cityramag : Parlez-nous de votre solution :
T. LC : En premier lieu, nous définissons le score de sécurité de l’entreprise. Comment ? En évaluant la capacité des salariés à déjouer les pièges que nous leur tendons via des scénarios de phishing complexes préinstallés et à la difficulté graduelle. Plus les collaborateurs contourneront ces pièges, plus ce score sera élevé.
De leur côté, nos clients comprennent comment se comportent leurs équipes face aux menaces présentes dans leurs boîtes mail, via des rapports détaillés et des plugins de signalement d’attaque interne. En ce sens, notre solution permet aux salariés d’être sensibilisés et corrigés très rapidement lorsqu’ils commettent une erreur, tout en étant force de contribution. A noter que nos clients peuvent aussi façonner des scénarios personnalisés.
Des entreprises peu enclin à communiquer sur leurs déboires
Cityramag : Combien d’entreprises sont touchées par ce fléau en pourcentage et existe-t-il des assurances spécialisées ?
T. LC : Ce phénomène reste encore très opaque. D’une part, parce que les entreprises victimes de phishing ne s’en rendent pas nécessairement compte (soit parce que leurs filtres anti-phishing font le travail, soit parce que leurs collaborateurs ne les signalent pas). D’autre part, nombre d’entreprises qui payent des rançons pour se défaire d’un rançongiciel ne rendent pas l’information officielle, ne serait-ce que d’un point de vue réputationnel.
En termes d’image, une cyber-attaque qui fait mouche va clairement impacter la confiance de leurs clients. Quant aux préjudices liés aux piratages, des cyber-assurances sont déjà en place. Mais c’est très récent et on n’a peu de recul sur la notion de solvabilité et d’efficacité qui en découle.
Cityramag : Qu’en est-il de votre modèle économique ?
T. LC : Nous fonctionnons sur un système d’abonnement annuel dont le prix varie selon le nombre de salariés de nos clients.
- A lire aussi : Smart City : attention au danger des « pirates »