"Dans la mesure où Lifen traite principalement des données sensibles, la formation et la sensibilisation des équipes est une des meilleures méthodes pour maîtriser ce risque systémique".
Lifen est une startup de 180 personnes basée à Paris dont l’ambition est de faciliter le déploiement de solutions numériques auprès des hôpitaux, des médecins et des patients. Depuis 2015, Lifen simplifie le partage des données médicales et s’est rapidement imposé comme le premier opérateur MSSanté en France avec plus de 600 établissements partenaires.
Lifen envoie chaque mois 2 millions de documents médicaux à 130 000 médecins. Fondateur du meetup FHIR France et lauréat du prix de l’interopérabilité 2020 de l’ANS, Lifen a pour ambition de mettre à profit son expertise du service d’information hospitalier pour développer une plateforme qui simplifie radicalement l’intégration technique et le déploiement opérationnel de tous types de solutions numériques
L’équipe de sécurité IT de Lifen, et notamment Karim El Srouji, son Responsable de la Sécurité des Systèmes d’Information ont choisi Mantra pour former les équipes de Lifen contre les attaques de phishing et de spear-phishing via son module de simulation de phishing automatisé.
Le phishing est la principale cause de la fuite de données pour la majorité des entreprises, nous explique Karim.
"Dans la mesure où Lifen traite principalement des données sensibles, la formation et la sensibilisation des équipes est une des meilleures méthodes pour maîtriser ce risque systémique".
En cas de cyberattaque et principalement dans le cas d’une de fuite de données, l’impact sur les clients, utilisateurs et sur la réputation de Lifen serait non négligeable. Pour ces raisons, les équipes techniques de Lifen déploient une stratégie complexe de cybersécurité (serveurs sécurisés, VPN, chiffrement de données, etc.) au sein de laquelle Mantra intervient pour l’entraînement des équipes, grâce aux simulations automatisées de phishing et de phishing ciblé.
Comme le précise Karim, la formation des équipes par l’entraînement est une des meilleures approches pour lutter contre le risque posé par les attaques de phishing et de spear-phishing.
En effet, “avec les innovations de la tech, les cyber criminels sont en mesure d’adapter leurs attaques de phishing pour les rendre moins identifiables par les robots anti-phishing/anti-spam mais aussi par les équipes”.
Former les équipes à ne pas cliquer sur les liens suspects et à analyser les emails pour détecter les attaques est donc capital.
Dans ce contexte, il était primordial d’utiliser une solution qui permettait à Lifen d’entraîner ses équipes “en conditions réelles”, notamment grâce aux scénarios de simulations reprenant les formats de communication des logiciels et outils utilisés quotidiennement par les équipes de Lifen. De plus, l’automatisation du choix et de l’envoi d’un scénario ciblé pour chaque l’utilisateur sont des éléments appréciés par Karim.
Et - c’est le plus important - les résultats sont là : le taux de clic des équipes de Lifen a été divisé par 3, et le taux de reporting a doublé.
La solution a été bien acceptée en interne, Karim souligne l’absence de friction. Il insiste aussi sur le fait que les utilisateurs apprécient le fait que les simulations ressemblent à des attaques ciblées de spear-phishing, avec une grande variété des scénarios proposés. Quant au module de sensibilisation à la cybersécurité, il apprécie la qualité des cours et le fait qu’elle couvre le périmètre assez large des bases de la cybersécurité.
En tant que RSSI et administrateur de la solution, Karim souligne la différence avec d’autres outils qu’il a pu voir par le passé pour lesquels une personne était dédiée à la création du scénario et à l’envoi groupé de la simulation, reçu donc par toutes les équipes au même moment et sans véritable personnalisation, diminuant ainsi l’efficacité et le réalisme de la simulation.
Il nous confie n’avoir jamais été piégé par une simulation de phishing, même si de son propre aveu "“une simulation Notion a bien failli me faire cliquer - c’était très crédible”". C’est donc un petit défi aux équipes de Mantra en charge du produit que de concevoir un scénario qui réussira à le faire cliquer 😉