Regarder avant de traverser. Ne pas monter dans la voiture d’un inconnu. Ne pas ouvrir une pièce jointe dont on n’est pas certain·e de la provenance. La cybersécurité est une affaire de réflexe, comme la sécurité du quotidien. Mais combien se sont déjà fait avoir ? Trop. Dont Gaspard Droz, qui travaillait alors en cabinet de conseil en stratégie. « Nous avions eu une sensibilisation aux sujets de cybersécurité, se rappelle l’entrepreneur. Ça ne m’a pas empêché de me faire fisher… Les escrocs se sont fait passer pour l’équipe IT et m’ont demandé de changer mon mot de passe pour le récupérer » . Un peu honteux en découvrant la supercherie, le jeune homme s’aperçoit pourtant qu’il est « loin d’être un cas isolé » . Selon le rapport Internet Crime Report, rédigé par le FBI sur la cybercriminalité, le phishing est le type de fraude qui a fait le plus de victimes en 2020 : pas moins de 241 000 dans le monde.
Et pas question de croire que les victimes ne sont que des boomers ou des simples d’esprit peu rompus aux usages d’un Internet qu’ils ne comprennent pas – le cas de Gaspard Droz, diplômé d’HEC et fringant trentenaire, en témoigne. « Les hackers sont assez doués pour faire intervenir des éléments psychologiques dans leurs mails, comme des arguments d’autorité en se faisant passer pour un supérieur hiérarchique ou un expert, par exemple, note le jeune homme. Cela vient brouiller le jugement de la victime potentielle qui est prise par surprise face à des attaques de plus en plus ciblées et contextualisées. »
Ces dernières années, les entreprises se sont dotées d’outils de plus en plus puissants pour armer leurs systèmes de défense. Mais la faille humaine reste critique. Et c’est là que Mantra, la solution imaginée par Gaspard Droz, avec Guillaume Charhon, intervient. « Il faut entraîner les gens en conditions réelles, leur envoyer de faux emails de phishing pour les habituer à être vigilants » , expose le co-fondateur de la startup, qui vient de lever 1,6 million d’euros auprès de OneRagTime, qui a leadé le tour, Bpifrance Digital Ventures et Axeleo.
Acquérir des réflexes
Pour acquérir ces nouveaux réflexes de cybervigilance, il faut compter plusieurs mois, puis une formation continue pour se tenir à jour des dernières techniques de fishing ; mais cela requiert aussi que les messages envoyés soient suffisamment crédibles pour risquer de ne pas être repérés par les victimes potentielles. C’est pourquoi Mantra a imaginé une solution permettant d’automatiser l’envoi de fausses campagnes de phishing au sein d’entreprises clientes. « On commence par scanner le contexte de la société : qui sont les personnes-clés, les outils utilisés, dans quel département travaillent les salariés à former… Cela permet d’envoyer de faux mails très ciblés. »