Le phishing, la technique d’attaque la plus courante

Le phishing, ou hameçonnage, est de loin la pratique la plus répandue pour s’introduire dans un système informatique. Cette technique consiste, pour un pirate informatique, à se faire passer pour un tiers de confiance afin d’obtenir de sa victime des informations personnelles (nom d’utilisateur et le mot de passe) ou de l’inciter à télécharger une pièce jointe vérolée. Le plus souvent, les tentatives de phishing à l’échelle d’une entreprise se font par l’intermédiaire d’e-mails de plus en plus sophistiqués.

En 2021, 73% des attaques cyber à l’encontre des entreprises ont été rendues possibles par le phishing. Pour une entreprise, le facteur humain est déterminant : une simple erreur d’inattention peut conduire à des conséquences graves pour toute l’organisation.

Il est aujourd’hui devenu primordial de sensibiliser l’ensemble des collaborateurs aux dangers du phishing et de leur donner des outils concrets pour s’en prémunir.

Un outil gratuit pour aider les assurés à réduire le facteur de risque humain

En complément de l’outil de scan externe intégré à la plateforme Stoïk qui permet aux assurés de réaliser des audits réguliers de leur surface d’attaque informatique, l’outil de sensibilisation au phishing vise à réduire le facteur de risque humain par une action préventive de sensibilisation en continu.
Ce nouvel outil a l’avantage d’être totalement gratuit pour tous les assurés Stoïk : il est compris dans l’abonnement, rendant l’assurance cyber encore plus complète et avantageuse pour de nombreuses TPE/PME.

Comment fonctionne l’outil de simulation de phishing de Stoïk ?

L’utilisation de l’outil de simulation de phishing de Stoïk se veut intuitive et flexible. Pour ce faire, l’utilisateur doit suivre les étapes suivantes :

• Se connecter à son espace client Stoïk et se rendre dans l’onglet « phishing ».
• Synchroniser la base de données de contact des collaborateurs en 2 clics (via Google workspace).
• Choisir une simulation en sélectionnant l’une des 3 plateformes disponibles : Google (par défaut), Github et Notion, à ce jour. De nouveaux modèles seront ajoutés par la suite pour diversifier les campagnes.
• Sélectionner les collaborateurs qui recevront chaque type de simulation. A titre d’exemple, un développeur qui utilise Github recevra un faux mail de la part de Github, afin que sa vigilance soit mise à l’épreuve.
• Programmer la temporalité : 1 mail par mois, ou 1 mail par trimestre envoyé à chaque collaborateur, avec la possibilité de suspendre la campagne à tout moment.
• Si besoin, générer un rapport complet via l’application, pour analyser les résultats.

Il est également possible de réitérer l’expérience autant de fois qu’on le souhaite. L’entreprise peut donc :
o mener des campagnes de phishing sur une durée déterminée ;
o choisir de laisser la campagne active de manière indéterminée, afin de renforcer la vigilance de ses collaborateurs au sujet des cyberattaques.

En cas d’hameçonnage, les collaborateurs sont redirigés vers un mini-espace de formation aux bonnes pratiques contre le phishing.

Notons que, pour l’heure, la synchronisation de l’outil se fait uniquement pour des comptes rattachés à Google. L’option pour les comptes Microsoft est en cours de développement chez Stoïk.

En somme, après avoir développé un scan externe qui permet d’appréhender le niveau de risque d’une entreprise avant de l’assurer et de monitorer son risque en continu, Stoïk met en oeuvre, grâce au simulateur de phishing, une arme efficace de formation et de prévention du risque cyber pour ses assurés et leurs équipes. Par ailleurs, les équipes de la cyber-insurtech continuent de développer de nouveaux modules comme le scan interne, qui est en cours de développement et fera l’objet d’un prochain lancement.