La start-up française Riot a dévoilé un outil de simulation de smishing pour entraîner et sensibiliser les employés au phishing par SMS, une menace qui explose et touche désormais six personnes sur dix.

Voici l'un des SMS piégés que Riot peut envoyer à ses clients, pour sensibiliser les salariés aux dangers du phishing par SMS © Riot
Voici l'un des SMS piégés que Riot peut envoyer à ses clients, pour sensibiliser les salariés aux dangers du phishing par SMS © Riot

La menace du smishing, le phishing (hameçonnage) par SMS, explose en France. Après douze mois de négociations serrées avec les opérateurs télécom, l'entreprise Riot a lancé un simulateur de smishing qui permet de tester et former les employés de ses clients, en leur envoyant des messages faussement piégés. Rencontré aux Assises de la cybersécurité, le fondateur de la plateforme, Benjamin Netter, revient pour Clubic sur l'intérêt de sensibiliser les Français salariés à ce fléau qui piège bon nombre d'entre eux.

Le smishing, fléau quotidien de nos smartphones

On les connaît tous, ces SMS suspects qui prétendent venir d'un livreur, de sa plateforme de streaming préférée ou de la Sécurité sociale. Le smishing, qui est la contraction de SMS et phishing, est devenu l'arme de prédilection des cybercriminels. Les statistiques en disent long, puisque six personnes sur dix reçoivent désormais au moins un SMS frauduleux par semaine. Un bouleversement qui inquiète sérieusement les spécialistes.

Benjamin Netter, le fondateur de Riot (à ne pas confondre avec l'éditeur de jeu vidéo américain) observe cette mutation avec attention. « C'est une grosse tendance de fond dans la cyber maintenant. Le format de l'attaque va changer, avec de moins en moins d'e-mails, mais de plus en plus de textes par SMS, WhatsApp, Instagram, LinkedIn, ou alors par la voix », analyse-t-il. L'effacement progressif de la frontière entre vie professionnelle et personnelle sur nos téléphones transforme un peu chaque employé en porte d'entrée potentielle vers les systèmes de son entreprise.

Les scénarios d'attaque exploitent notre quotidien, avec beaucoup de réalisme, dont s'inspire Riot pour ses exercices. « Le plus courant en ce moment, c'est le fameux SMS "Bonjour, vous êtes chez vous" du livreur ; ou celui du péage, avec le faux pass Ulys », rappelle Benjamin Netter. Ces messages malveillants jouent sur l'urgence et la routine, pour court-circuiter notre vigilance. Voilà contre quoi Riot veut lutter.

Voici ce qui s'affiche une fois qu'un utilisateur a été piégé par Riot, qui va ensuite le guider étape par étape vers une meilleure hygiène cyber © Riot
Voici ce qui s'affiche une fois qu'un utilisateur a été piégé par Riot, qui va ensuite le guider étape par étape vers une meilleure hygiène cyber © Riot

Comment Riot a convaincu les opérateurs télécoms français

Lancer un outil de simulation par SMS pour tester les salariés d'une entreprise, comme vient de le faire Riot il y a quelques jours, n'a rien d'une promenade de santé. Là où l'e-mail permettait une mise en œuvre immédiate, le SMS impose un cadre strict qui implique les opérateurs télécoms. Pendant un an, Riot a multiplié les rendez-vous pour convaincre Orange, SFR, Bouygues Telecom et Free du bien-fondé de sa démarche. « On a réussi à avoir la bénédiction des opérateurs français pour faire ça », se félicite Benjamin Netter.

Dans le détail, l'entreprise s'appuie sur smsmode, une société française qui fait le pont avec les opérateurs, pour jouer les intermédiaires. Une flotte de numéros dédiés permet d'envoyer de faux SMS piégés aux collaborateurs. Le scénario pédagogique choisi suit toute une mécanique. D'abord, l'employé reçoit un message frauduleux, ensuite il clique sur le lien s'il tombe dans le piège, puis saisit ses identifiants sur une page d'hameçonnage, et découvre instantanément son erreur avec une explication des signaux d'alerte qu'il aurait dû repérer.

Mais le dispositif impose ses contraintes. « On a l'obligation de prévenir en amont les opérateurs qu'on va envoyer une attaque, du coup on s'accorde un délai de 48 heures avant de lancer effectivement l'attaque, la simulation », explique Benjamin Netter. Une limitation absente du phishing e-mail, mais qui n'altère en réalité pas l'efficacité de l'apprentissage. Une autre spécificité française à connaître est que pour attaquer les numéros personnels, l'entreprise doit obtenir l'accord préalable de chaque employé, une démarche généralement bien accueillie selon le fondateur.

La répétition de l'exercice, le secret pour maintenir la vigilance cyber des employés

Alors, est-ce que la méthode Riot fonctionne ? S'il est encore trop tôt pour obtenir des retours chiffrés sur le phishing par SMS, l'entreprise française détient des données intéressantes sur la version par e-mail. « La première attaque atteint en moyenne 20% de réussite, et ensuite, le nombre de personnes piégées diminue au fur et à mesure. À partir de la cinquième attaque, on réduit de 75% le risque, et on est plutôt autour de 3 à 4% de vulnérabilité » au sein d'un même pool de salariés, nous détaille Benjamin Netter. On comprend donc que la répétition régulière des exercices est fondamentale.

Car sans entraînement continu, la vigilance s'émousse rapidement. « C'est un exercice qui marche bien s'il est répété dans le temps, parce que les gens finissent parfois par oublier qu'ils peuvent tomber dans le piège du phishing », insiste le dirigeant. D'où la recommandation de lancer au minimum une simulation par trimestre, ou à défaut par semestre, sur l'ensemble des effectifs. Une cadence qui évoque les exercices d'évacuation incendie, cadence qui fait mouche auprès des clients de Riot.

Benjamin Netter, fondateur de Riot © Alexandre Boero / Clubic

Le taux de renouvellement des contrats reste à ce propos très élevé d'une année sur l'autre, avec des engagements allant jusqu'à trois ans chez les grands comptes. Et l'expansion internationale se poursuit, puisque après l'Italie et l'Espagne, Riot s'attaque désormais au marché américain. Seule ombre au tableau du smishing : l'outil reste pour l'instant limité aux numéros français.

Un coach cyber inspiré d'Albert Einstein

Aujourd'hui, les équipes de Riot comptent plus de 115 personnes à Paris, soit près de trois fois plus qu'il y a un an. Cette croissance fulgurante s'appuie sur des levées de fonds successives qui atteignent désormais quarante-cinq millions de dollars au total, dont 30 millions levés en série B début 2025.

Côté business, l'entreprise a généré 10 millions d'euros de chiffre d'affaires l'an dernier. Les 1 500 clients de Riot se répartissent entre des PME et des grands comptes. « Historiquement, nous, on ciblait les entreprises de taille intermédiaire, donc entre 200 et 2000 employés. Et depuis 18 mois, on travaille avec pas mal de grands comptes aussi, notamment Veolia », précise Benjamin Netter.

Exemple d'une interaction qu'on peut avoir avec Albert © Riot

Au cœur de la plateforme française vit Albert, un personnage virtuel devenu la mascotte de l'entreprise, dont nous ne pouvions pas ne pas vous parler. Son apparence ? Celle d'un petit Einstein. Son origine ? Le fruit du hasard. « Un designer nous avait fait un petit personnage, il ressemblait à Albert Einstein, donc on l'a gardé et on l'a appelé Albert », raconte simplement le fondateur. Le coach cyber à la bonne bouille est intégré à Teams, Google Chat ou Slack. Il diffuse quotidiennement, comme un symbole des propriétés de Riot, des capsules de sensibilisation et alertes auprès des employés.