Phishing : Mantra joue la carte de la mise en conditions réelles

C’est en mai 2020 que Gaspard Droz et Guillaume Charhon se sont lancés dans l’aventure Mantra. Le point de départ ? Gaspard Droz le reconnaît humblement : une mésaventure personnelle. Dans son poste précédent, il s’est fait piéger par un courriel malicieux. « Alors que j’étais déjà sensibilisé », précise-t-il. Que s’est-il passé ? Une personne mal intentionnée s’est fait passer pour un membre de l’équipe IT et « m’a demandé de changer mon mot de passe ». Il s’exécuta. Ce qui suffit à obtenir la compromission de ses identifiants. À ce moment-là, Gaspard Droz s’est dit qu’il manquait quelque chose à la sensibilisation dont il avait fait l’objet et qu’il « fallait aller plus loin ».

Avant de lancer Mantra, il s’est rapproché de directeurs techniques, de DSI, de RSSI, pour explorer le marché. Mais il a également cherché à comprendre pourquoi les utilisateurs cliquent et tombent dans les pièges qui leur sont tendus. Et d’identifier deux facteurs.

Le premier, c’est la surprise : « certaines opérations très ciblées s’appuient sur des ressorts psychologiques connus ». Justement, lui-même s’est fait piéger par quelqu’un qui avait pris la peine de faire un travail de reconnaissance sur sa cible, identifiant des personnes dont il pourrait usurper l’identité, afin d’ajouter à la crédibilité de son opération. Et de jouer aussi sur la loyauté vis-à-vis de l’employeur et son équipe IT. Mais ce n’est pas tout.  

« Nous avons le réflexe d’ouvrir les e-mails et leurs pièces jointes ; nous y sommes conditionnés par le flux », relève Gaspard Droz. C’est le deuxième levier des attaquants.

Mantra s’attache à entraîner à résister à ces deux facteurs. Et pour cela, la jeune pousse construit ses campagnes comme le ferait une personne mal intentionnée : en commençant par procéder à une reconnaissance de l’entreprise cliente, en identifiant par exemple des cibles et des profils clés sur les réseaux sociaux. Avec un objectif : habituer à prendre du recul, à faire une pause, à réfléchir avant de décider de cliquer sur un lien, ou d’ouvrir une pièce jointe. Pour cela, « nous misons notamment sur des mécanismes d’encouragement et de gamification », afin d’inciter les utilisateurs à « adopter le bon comportement ».

« Je crois qu’il faut entraîner les gens avec des menaces telles que celles qu’ils sont susceptibles de rencontrer, pour les mettre en condition de réussir lorsqu’ils seront confrontés à la menace. »

Et s’il s’agit d’avancer de manière progressive dans la difficulté à décerner les pièges – afin d’éviter de décourager ou de perdre des utilisateurs en cours de route –, pas question pour autant de s’éloigner de la stratégie de base : « je crois qu’il faut entraîner les gens avec des menaces telles que celles qu’ils sont susceptibles de rencontrer, pour les mettre en condition de réussir lorsqu’ils seront confrontés à la menace ». Car, explique Gaspard Droz, « comment expliquer à quelqu’un qu’il a fait une erreur, si on ne l’a pas mis en conditions réelles ? » Donc oui, les utilisateurs sont « challengés », mais « c’est cela qui permet de maintenir un niveau de vigilance élevé ».

Mais comment mesurer la réussite de la sensibilisation et assurer sa progression continue ? « Il faut avoir une approche statistique. Il vaut mieux avoir 3 % d’utilisateurs qui se font piéger à un instant T, que 50 %. Surtout, il est important de regarder les chiffres de manière dynamique, en suivant la progression. Le risque zéro n’existe pas. Le mieux que l’on puisse faire, c’est de s’assurer de le ramener au niveau le plus bas possible ».

Reste qu’idéalement, l’objectif est de s’assurer « qu’une personne qui se fait piéger aujourd’hui ne se laissera pas berner demain ». Pour cela, « il faut se concentrer sur les populations résiduelles ». L’idée est donc de ne pas entraîner au même rythme une personne qui a déjà de bons réflexes, et une autre, qui a besoin de les acquérir : « c’est une approche que nous allons mettre en place graduellement », explique Gaspard Droz.