momius - stock.adobe.com
Quels outils pour créer des campagnes de sensibilisation au phishing ?
La prise de conscience semble là : le volet technique de la prévention du hameçonnage ne suffit plus. Plusieurs opérations capitalistiques l’ont récemment montré. Ainsi que la multiplication des outils.
C’était au mois de février : PhishMe annonçait son rachat par un groupe de fonds d’investissement non dévoilé, ainsi que son changement de nom pour Cofense, pour se donner les moyens de lancer de futures « initiatives de croissance organique et externe ».
Dans l’édition 2017 de son quadrant magique sur la formation informatisée à la cybersécurité, Gartner plaçait PhishMe parmi les leaders, aux côtés notamment de KnowBe4 et de Wombat Technologies. Et justement, ce dernier a depuis été racheté par Proopoint pour 225 M$ en numéraire. Pour l’éditeur, c’est bien simple, il convient de former mieux et plus, mais également d’utiliser les remontées des collaborateurs – via la plateforme PhishAlarm de Wombat – pour enrichir la connaissance de la menace. Cofense propose également un tel outil, avec l’agent PhishMe Reporter.
Au mois de janvier, c’était Barracuda Networks qui avait annoncé le rachat de PhishLine. Comme pour Proofpoint, il s’agissait d’ajouter la sensibilisation des utilisateurs à la lutte technique contre le hameçonnage, via le filtrage de la messagerie.
La question de la place des collaborateurs de l’entreprise dans sa stratégie de sécurité est régulièrement posée. Ce fut d’ailleurs le sujet d’une table ronde aux Assises de la Sécurité, à l’automne 2017. Jérôme Saiz, consultant et animateur de cette table ronde soulignait alors la nature clivante du sujet.
Mais les investisseurs – et les entreprises clientes des plateformes telles que celles de Wombat et PhishMe – semblent avoir tranché et choisi de miser résolument sur l’utilisateur final. Wombat s’est ainsi vendu 225 M$ alors qu’il avait levé moins de 11 M$ depuis sa création en 2008. De son côté, en près de 7 ans d’existence, PhishMe avait levé près de 60 M$. Il indique que sa vente le valorise aujourd’hui à 400 M$.
Mais l’offre est loin d’être limitée à ces quelques exemples. Rapid7 propose, avec InsightPhishing, sa propre plateforme de test et de simulation, à l’instar de Sophos, Trend Micro, ou de Duo Security, et même de Microsoft avec Attack Simulator for Office 365 Threat Intelligence. Le français Conscio Technologies propose également un outil de gestion de campagnes de simulation de phishing, dans le cadre de son offre de sensibilisation Sensiwave. Et il ne faut pas oublier les incontournables SecurityIQ PhishSim et Lucy.
Autant de plateformes auxquelles il convient d’en ajouter d'autres, disponibles en open source, à l’instar du célèbre GoPhish, et de ReelPhish, développé par FireEye.
Les équipes du Cert (Computer Emergency Readiness Team) de la Société Générale, ont également mis au point leur propre plateforme de lancement de simulation de campagnes de hameçonnage, Swordphish. Développée en Python et tout juste rendue publique, elle vise à aider à élever la conscience de la menace chez les utilisateurs en entreprise – mais également à vérifier le fait qu’ils informent correctement les équipes de sécurité – et s’appuie sur Django, Celery, PostgreSQL et Bootstrap pour fonctionner.