L’entreprise louvaniste Phished a récolté l’été dernier un million d’euros pour continuer de croître. Ses plans sont entre-temps concrets, mais un modèle commercial évolutif ne les rend-il pas sensibles à la concurrence?
Data News a rencontré Arnout Van de Meulebroucke, CEO de Phished. Alors qu’il travaillait chez Bringme, il a développé durant ses loisirs une plate-forme permettant aux entreprises de tester et de former pas à pas leur personnel aux mails d’hameçonnage (‘phishing’).
L’année dernière, Van de Meulebroucke décida d’être actif à temps plein dans sa jeune pousse et ce, avec le support de son ex-employeur, Jo Vandenbergh , qui a directement investi un million d’euros dans l’entreprise. Cet investissement est consacré à recruter du personnel et de la connaissance, mais aussi à trouver des filiales locale, comme en Grande-Bretagne.
Ce genre de filiale physique apporte-t-elle aujourd’hui encore une valeur ajoutée? Etant donné que vous aviez déjà des clients en Grande-Bretagne et aux Pays-Bas?
VAN DE MEULEBROUCKE: La principale valeur ajoutée réside dans le fait qu’on dispose d’un ancrage. On nous fait ainsi directement davantage confiance, ce qui est à coup sûr important en cyber-sécurité. Les entreprises nous offrent aussi une certaine porte dérobée dans leur politique de sécurité. Il faut donc qu’il y ait une sérieuse dose de confiance réciproque. En outre, et surtout une fois la parenthèse corona terminée, il sera préférable de rencontrer physiquement les gens, surtout au niveau local.
Dans certains pays, les gens sont incités à réagir de manière différente à un courriel d’hameçonnage. C’est pour cela que nous voulons disposer de personnel local.
Le développement technique reste en Belgique. Est-ce à dire que ces filiales s’occuperont surtout de vente?
VAN DE MEULEBROUCKE: La plupart de ces personnes locales seront des vendeurs, mais il y aura aussi des aspects opérationnels. Nous sommes conscients qu’à côté de la langue, il y a également d’autres aspects culturels aux Pays-Bas, en France, en Grande-Bretagne ou ailleurs. Dans certains pays, les gens sont incités à réagir de manière différente à un courriel d’hameçonnage. C’est pour cela que nous voulons disposer de personnel local qui va se charger des courriels ou des SMS.
Vos premières extensions se sont faites à Londres. La France suit à présent. En juin, ce sera le tour de l’Allemagne, puis plus tard des Pays-Bas. Pourquoi choisissez-vous des pays tout proches de la Belgique?
VAN DE MEULEBROUCKE: D’abord, parce qu’il y a là plus de potentiel. Notre modèle commercial se focalise sur le nombre de destinataires par client. Les grandes entreprises sont donc privilégiées. Mais il y a le fait aussi que nous y possédons déjà des clients, ce qui fait qu’il est plus sensé de s’y étendre. Nous ciblerons d’autres pays encore, mais plutôt via des partenaires.
Sera-ce en Europe, ou des régions telles l’Asie, les Etats-Unis ou le Moyen-Orient figurent-elles aussi sur la liste?
VAN DE MEULEBROUCKE: A long terme, nous voulons y être actifs également. Mais pas nécessairement avec des bureaux physiques. Nous sommes aujourd’hui par exemple bel et bien actifs en Inde par le truchement d’un revendeur local.
Des phases de capitalisation sont-elles encore prévues?
VAN DE MEULEBROUCKE: Actuellement, c’est encore difficile à estimer. Notre investisseur actuel, c’est le smart money, qui a déjà évolué au niveau international et dont l’expertise nous aide aussi. Mais pour le moment, nous ne sommes pas encore arrivés au point où il nous faut prendre une nouvelle décision. Nous croissons, et notre business plan sera exécuté plus tôt que prévu.
S’agira-t-il uniquement de croissance organique ou des rachats sont-ils aussi planifiés?
VAN DE MEULEBROUCKE: Ce sera surtout une croissance organique. L’hameçonnage progresse en tant que phénomène. L’attente est donc que nous croissions également. Lors d’une vaste cyber-attaque, nous observons aussi l’afflux de davantage de demandes. Peut-être y aura-t-il des rachats d’ici quelques années, mais pour l’instant, ce n’est pas à l’ordre du jour.
Est-ce exact, si nous disons que votre business model sera rapidement traduisible sur ces marchés, mais que le contenu par entreprise ou par pays devra être adapté?
VAN DE MEULEBROUCKE: Nous aligner sur la culture locale sera en effet la principale adaptation. Notre produit est très évolutif sur le plan technique. Donc si nous expédions des mails d’hameçonnage en Belgique, aux Pays-Bas ou en Asie, cela ne change guère au niveau technique.
Cela ne vous rendra-t-il pas vulnérables? C’est quand même là quelque chose que d’autres jeunes pousses ou acteurs de la sécurité peuvent aussi faire aisément, surtout sur un marché qu’ils connaissent.
VAN DE MEULEBROUCKE: Il y a de nombreux acteurs, y compris en Belgique, qui proposent des simulations d’hameçonnage. Mais la plupart sont eux-mêmes des revendeurs. Il n’y a que quelques acteurs dans le monde qui le font eux-mêmes, qui l’automatisent et y dissimulent une certaine personnalisation. Nous examinons par exemple l’entreprise, les noms des employés et leur fonction. Ensuite, nous les formons aussi via notre Phished Academy, nous les récompensons pour le rapportage des simulations d’hameçonnage et élaborons un trajet.
L’une de nos plus grandes forces, c’est que nous offrons un retour sur investissement clair. Nous débutons souvent par une mesure pour rien, une simulation adaptée au contexte du client. Nous savons alors comment il se comporte vis-à-vis du marché. Nous faisons la même chose au bout d’un an, et le client voit directement si ses employés se sont améliorés.
Chez d’autres, il est question d’expédier les mails et d’examiner le pourcentage de réussite. Nous, nous analysons les progrès réalisés par une organisation ou des personnes. Elles reçoivent des mails d’hameçonnage toujours plus compliqués au fur et à mesure que le trajet évolue. C’est déjà plus difficile à identifier. Il convient d’ajouter que nous rassemblons entre-temps davantage d’infos pour notre algorithme.
Il y a des gens qui sont très sensibles aux mails de marketing le mardi, alors que d’autres cliquent sur des messages plus obscurs durant le week-end.
Cet algorithme, qu’apporte-t-il en plus à votre approche?
VAN DE MEULEBROUCKE: Dès que notre client ajoute un employé comme réceptionnaire, nous examinons quelle est la fonction de cette personne. Nous comparons ensuite les ensembles de données aux profils comparables et nous savons ainsi où il y a le plus de chances de réussite. Il y a des gens qui sont très sensibles aux mails de marketing le mardi, alors que d’autres cliquent sur des messages plus obscurs durant le week-end.
Recherchez-vous aussi des infos personnelles sur les personnes ciblées? Des choses sur lesquelles vous pouvez mettre la main via Facebook, Twitter ou LinkedIn?
VAN DE MEULEBROUCKE: Non, nous restons dans un contexte professionnel. Nous connaissons leur département, leur situation et leur langue. Ce dernier point est à coup sûr important si vous voulez hameçonner quelqu’un.
Y a-t-il des sujets qui fonctionnent mieux que d’autres?
VAN DE MEULEBROUCKE: Les thèmes liés au corona étaient régulièrement privilégiés l’année dernière, certains mois un peu moins, mais toujours dans le top cinq. De plus, les simulations liées au temps se distinguent également. Si nous jouons la carte de l’actualité, comme un Diable Rouge qui risque de manquer un match international, nous savons très bien que les fans de sport mordront à l’hameçon.
Un mail du CEO demandant d’effectuer un virement urgent à un fournisseur inconnu? Dans nombre d’entreprises, cela n’arrive jamais.
Comment l’utilisateur peut-il identifier ce type de mail, s’il n’est pas truffé de fautes d’orthographe ou s’il n’émane pas d’un riche prince nigérian?
VAN DE MEULEBROUCKE: C’est là tout le mérite de nos services. La meilleure manière d’y arriver, c’est d’entrer en contact avec lui et le former. Par ailleurs, le nom de domaine d’origine d’un message peut déjà être une indication.
Mais dans la plupart des cas, il s’agit de réfléchir de manière logique. Le message en question aurait-il sa place dans la vraie vie? Un mail du CEO demandant d’effectuer un virement urgent à un fournisseur inconnu? Dans nombre d’entreprises, cela n’arrive jamais. Donc si cela se présente un jour, cela sent l’escroquerie à plein nez.
Les informaticiens pensent souvent qu’ils savent tout cela, mais ils se montrent quelque peu téméraires.
Existe-t-il de grandes différences par entreprise ou par secteur? Ou y a-t-il des profils d’utilisateur qui sont plus résistants? Un informaticien par exemple devrait quand même être davantage au courant, non?
VAN DE MEULEBROUCKE: ‘Les instances publiques sont généralement plus vulnérables que les entreprises privées. On y voit qu’en moyenne, cinq pour cent de personnes en plus sont bernées par des mails d’hameçonnage. Cela est dû au fait qu’il s’agit en général de plus grandes organisations. Dans les grandes entreprises, les chiffres sont aussi plus élevés.
Les informaticiens pensent souvent qu’ils savent tout cela, mais ils se montrent quelque peu téméraires. C’est un mythe de croire que les informaticiens ne tombent jamais dans le piège de l’hameçonnage. Mais cela dépend également du type de profil testé. Quelqu’un qui s’occupe professionnellement d’hameçonnage et de sécurité, résistera mieux que d’autres. Il en va de même pour les écoles et les hôpitaux, où il y a autant de risque qu’un directeur d’université ou qu’un médecin-chef se fasse prendre aux simulations que des collaborateurs dans divers départements. Tout le monde peut se faire piéger.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici