Pour rappel :
Le phishing est un type d’attaque informatique qui consiste en l’envoi de mails frauduleux.
Ceux ci ont pour objectifs de vous faire cliquer sur des liens malveillants ou vous inciter à transmettre des informations confidentielles. (idéalement votre numéro de carte bancaire, identifiant mot de passe etc…)
Loin de l’image d’un hacker surdoué en informatique en capacité de réaliser des exploits contournant la sécurité, le phishing est devenu depuis quelques années le type d’attaque le plus fréquent.
« Simple » à mettre en œuvre, ne nécessitant que peu de connaissance en informatique et pouvant être utilisé à grande échelle c’est une des causes principales de sinistre sur le système d’information.
Celui-ci exploite principalement l’inattention, le manque de vigilance des utilisateurs.
Ces attaques, de mieux en mieux préparées (souvenez-vous des premières truffées de fautes d’orthographe) sont de plus difficilement détectable de façon automatique.
La meilleure protection reste donc la sensibilisation des utilisateurs.
Notre pédagogie
DIMOXILO propose d’entrainer vos utilisateurs afin de développer leur vigilance.
Pour cela nous organisons des campagnes d’envoi d’emails piègées que nous transmettons à tous vos utilisateurs.
Le contenu de ce mail peut être entièrement personnalisé mais nous vous proposons un modèle clef en main issu de notre expérience. Ces modèles sont des copies conformes d’attaques réelles que nous avons eu à gérer dans nos fonctions de DSI externalisé.
Nos campagnes incitent vos utilisateurs à cliquer sur un lien spécifique, voir à nous communiquer leur identifiants / mot de passe.
Aucune donnée n’est conservée dans ce cadre, seule l’action de transmettre des éléments est enregistrée.
Un exemple :
Une offre financière très bien placée
Afin de démocratiser l’entrainement à ne pas cliquer trop vite nous avons souhaité proposer une première formule à un coût très abordable.
Pour proposer ce tarif nous fixons un cadre général :
- Livraisons d’un rapport type
- Des prérequis techniques (mais très simple)
Rapport type
Complet, mais allant à l’essentiel il présente le nombre d’agent ayant cliqué, ayant transmis des informations.
Il contient également la liste nominative afin de vous permettre d’organiser des formations ciblées en fonciton du niveau de maturité de chacun.
Sensibilisation – Formation
Afin de mener une action de sensibilisation dont les utilisateurs se souviendrons nous organisons des ateliers sous la forme de serious game.
Concrètement :
Nous alternons projection de document d’illustration avec des questions de logique, de réflexion, et d’observation du type « pensez-vous que ce mail est légitime ? Ce site web vous paraît-il sécurisé ? Etc..
Le contenu de ces ateliers est axé sur l’amélioration de la maturité utilisateurs en matière de sécurité informatique.
Nous pouvons également y intégrer des éléments issus de votre contexte spécifique :
- Connaissance de la charte informatique,
- De procédure interne
- Conduite à tenir en cas de compromission
- D’intégration des consignes transmises à l’arrivée dans la collectivité
- etc..
Des points sont attribués aux participants et un challenge bon enfant est organisé..
L’objectif pédagogique étant de faire en sorte que les informations qui sont transmises soient mieux mémorisées.
Et cela fonctionne bien !
Serious Game : QuizzBox
Nous utilisons la solution QuizzBox pour animer nos ateliers.
Des questions simples à choix multiples (QCM) leur seront posées. Vos agents y répondront avec un boitier fourni ou leur smartphone
Entre chaque question, des phases d’explications, de décryptage leur donneront des éléments permettant d’améliorer leur réponses.
Nous propons les sensibilsatiosn sur site ou à distance.
Le coût moyen par journée est de 850 € HT.
1/2 journée par session suffit amplement.
Nombre d’utilisateur par session maximum : 15 personnes.
Tarifs
Campagne récurrente, volumineuse, besoin spécifique => nous contacter
Société de taille réduite nous pouvons facilement nous adapter à vos besoins spécifiques.
Nous travaillons essentiellement pour le secteur public mais sur ce genre de thématique le secteur d’activité n’a en fait pas vraiment d’importance donc, chers collègues du secteur privé, n’hésitez pas à nous contacter également
0-100 mails
1 campagne- Envoi d’une campagne de phishing et livraison du rapport
101-300 mails
1 campagne- Envoi d’une campagne de phishing et livraison du rapport
301-600 mails
1 campagne- Envoi d’une campagne de phishing et livraison du rapport
Sensibilisation
Par jour- Serious Game, Formation, Audit…
Pré requis
Technique :
L’objectif est d’entraîner les utlisateurs et non de tester votre protection antispam.
Il y aura donc des échanges à prévoir avec votre service informatique pour s’assurer que nos mails ne finissent pas en spam. (Liste blanche notamment)
Mais a priori notre plateforme étant très surveillée sur ces aspects les modifications sont souvent très légères.
LIsting à fournir :
La liste des utilisateurs à tester est à fournir au format .xlsx structurée en 3 colonnes « Nom », « Prénom », « Email » :
| Nom | Prénom | |
| Lagaffe | Gaston | g.lagaffe@dimoxilo.fr |
Livrable :
Nous vous fournissons un rapport sous Excel contenant :
- Le nombre d’utilisateur ayant cliqué sur le lien
- Le nombre d’utilisateur ayant transmis des éléments
- La liste nominative des utilisateurs ayant cliqué sur le lien
- La liste nominative des utilisateurs ayant transmis des éléments
Note : Nos rapports peuvent être personnalisés et enrichis (sur devis) :
- lieu de réponse,
- type de matériel utilisé,
- horodatage détaillé
- Adresses ip
- …
Rappelez moi
On vous laisse nous rappeler ?
09 73 45 14 40
06 23 06 75 84
contact@dimoxilo.fr
Dimoxilo c’est aussi…
…un cabinet spécialisé sur le secteur public
…du recrutement
