David Shipley, PDG et cofondateur de l’entreprise de cybersécurité Beauceron Security (Photo: courtoisie)

La solution de l’expert

David Shipley de Beauceron Security défend une approche humaine axée sur la gestion des émotions. Son objectif est d’aider les organisations à transformer leurs employés — des cibles vulnérables — en meilleurs agents de cyberdéfense. 

Son entreprise a intégré à sa plateforme un module de formation basé sur l’intelligence émotionnelle et la pleine conscience appliquées à l’hameçonnage, à laquelle 7000 individus ont collaboré. « Par exemple, nous invitons les participants à se poser des questions sur les raisons pour lesquelles quelqu’un enverrait tel ou tel message. On les éduque également sur les réactions instinctives ou émotionnelles qui peuvent les faire flancher face aux courriels suspects. » 

L’entreprise a ainsi réussi à réduire de 42 % les taux de clics sur des sites frauduleux, indique David Shipley. Comme quoi mettre l’accent sur l’aspect humain est payant ! 

Pour cet adepte des neurosciences, les tentatives d’hameçonnage réussies sont celles qui parviennent à accéder à notre « ancien cerveau », celui où nos émotions peuvent encore prendre le contrôle. « Lorsqu’il fonctionne, l’hameçonnage peut mettre notre pensée rationnelle en veilleuse et faire passer notre pensée émotionnelle sur le siège conducteur. Ce qui nous pousse à faire des choses que nous ne ferions pas en temps normal », comme cliquer sur un hyperlien dans un courriel suspect sans prendre le temps de vérifier l’adresse exacte de l’envoyeur.

Miser sur l’éducation du personnel 

Conduire des simulations d’hameçonnage permet à une entreprise de prendre le pouls de la résilience de ses employés, tout en offrant des occasions de les former à reconnaître et à éviter la menace. Sans formation, indique David Shipley, c’est jusqu’à 30 % des employés d’une entreprise qui peuvent se faire piéger.

Pour être efficaces, les simulations d’hameçonnage doivent toutefois être réalisées de manière éthique et sans jugement négatif. L’objectif n’est pas de réprimander les employés pour avoir interagi avec un hameçon, mais plutôt de les féliciter lorsqu’ils signalent les incidents. Et parce que chaque minute compte, il est essentiel de s’assurer que l’employé sait comment, quand et où aller lorsqu’il a besoin d’aide.

Ne pas ignorer le problème

Quand un employé croit avoir interagi avec un hameçon, il est important de ne pas l’ignorer ni tenter de cacher la situation, insiste David Shipley, qui rappelle que personne n’est à l’abri d’un tel piège. David Shipley avise les patrons et les collègues de ne pas blâmer ledit employé : une telle attitude a toutes les chances de décourager les prochaines victimes à divulguer des futurs incidents. 

La prochaine étape ? Recueillir les détails de l’attaque. « Lorsque vous avez appuyé sur l’hyperlien, avez-vous dû saisir votre nom d’utilisateur et votre mot de passe ? Si c’est le cas, changez-les immédiatement », implore David Shipley. Finalement, l’expert recommande de mettre l’équipe ou le partenaire en cybersécurité sur le cas « pour qu’elle enquête et, si nécessaire, qu’elle efface vos appareils et réinstalle les choses, juste pour être sûr. »