La sensibilisation aux dangers cyber a ses limites… Une compagnie ferroviaire en a fait les frais : en voulant sensibiliser ses équipes aux arnaques en ligne, elle leur a promis un faux bonus.
En 2020, la crise a été économique, sanitaire, et cyber. En France, 91% des entreprises ont été la cible d’au moins une cyberattaque, notait une étude de l’éditeur de sécurité Proofpoint. Ailleurs, ce n’est pas mieux. Hameçonnage, rançongiciels, piratage de comptes, les attaques informatiques se multiplient en même temps que nos usages numériques. Résultat : certaines entreprises essayent d’éduquer leurs équipes à ces dangers. Sur le principe, c’est bien. Dans les faits, c’est parfois franchement raté.
Vrais efforts, faux bonus
La compagnie ferroviaire West Midlands Trains a demandé à son service tech de concevoir un e-mail alléchant à destination de 2 500 travailleurs et travailleuses. Celui-ci leur promettait un bonus, de la part du directeur général Julian Edwards, afin de les remercier de leurs efforts pendant la crise du Covid-19. Un lien permettait ensuite d’accéder à plus de détails. Sauf qu’en cliquant sur celui-ci, point d’information sur les primes ou de félicitations, mais un avertissement. « Ceci était un test conçu par notre équipe IT pour vous inciter à cliquer sur lien en utilisant à la fois la promesse de remerciements et une récompense financière. »
La colère des victimes
« Répréhensible », « cynique », « combine choquante », les mots utilisés par le TSSA (le syndicat qui représente les salarié.e.s, ndlr) dénoncent une démarche visant à « piéger » des gens « qui ont été en première ligne tout au long de la pandémie ». À ce titre, le syndicat réclame des excuses et le versement d’une vraie prime. Dans les colonnes du Guardian, l’entreprise se justifie : « Nous prenons les enjeux de cybersécurité très au sérieux. Nous effectuons des sensibilisations régulières, et il est important de tester notre résilience. » Soit, mais il y a peut-être des moyens moins cruels que de faire miroiter une prime fictive. Mobiliser les équipes IT, c’est bien…, mais la prochaine fois, il pourrait être utile de les faire communiquer avec les équipes RH.
En même temps c'est le but des hackers de vous faire cliquer sur leur lien pour vous avoir. Quoi de mieux qu'un test en lien avec une augmentation pour montrer que beaucoup pourraient se faire avoir. Rien de choquant en réalité, juste les gens qui sont de plus en plus intolérant à tout et réagissent à l'émotion et non plus avec leurs neurones...