Anagram adopte une approche ludique pour la formation des employés en cybersécurité

Bien que les employeurs exigent de leurs employés qu’ils suivent des formations annuelles en cybersécurité, des failles de sécurité d’origine humaine se produisent encore. Le problème pourrait même s’aggraver considérablement à mesure que l’IA générative augmente l’ampleur et la personnalisation des campagnes d’ingénierie sociale.

Anagram , anciennement connu sous le nom de Cipher, adopte une nouvelle approche en matière de formation des employés à la cybersécurité qui, selon l'entreprise, pourra s'adapter à la nature changeante de ces campagnes.

L'entreprise basée à New York a créé une plateforme qui propose des formations pratiques en matière de sécurité pour les entreprises. La formation comprend des vidéos courtes et des puzzles interactifs personnalisés pour apprendre aux employés à repérer les e-mails et les communications suspects. Ces formations sont conçues pour être plus fréquentes et plus engageantes que la norme actuelle qui consiste en une session de formation longue et annuelle.

Harley Sugarman, cofondateur et PDG d'Anagram, a déclaré à TechCrunch que ces activités incluent des tâches telles que demander aux employés de créer leurs propres e-mails de phishing personnalisés pour leur apprendre à repérer les campagnes sophistiquées contre eux-mêmes.

« Nous nous sommes très peu inspirés des formations existantes en cybersécurité, en fait, nous ne les avons pas vraiment utilisées », a déclaré Sugarman à propos des formations existantes en cybersécurité. « Nous avons surtout tiré des leçons de TikTok, de Duolingo et de Khan Academy. Nous avons examiné les plateformes qui ont vraiment bien réussi à engager et à changer le comportement des utilisateurs en dehors du domaine de la sécurité et nous nous sommes demandés comment nous pouvions appliquer ces leçons dans le domaine de la sécurité. »

Créer une formation ludique en cybersécurité n'était pas l'objectif de Sugarman, ancien VC chez Bloomberg Beta, lorsqu'il a lancé l'entreprise.

La première idée de Sugarman était de mettre en œuvre l'approche de formation « capture the flag » du secteur de la cybersécurité pour améliorer les compétences des employés en cybersécurité des entreprises. Cette approche de formation consiste à créer des logiciels présentant des vulnérabilités et à demander aux chercheurs en sécurité d'explorer le logiciel pour trouver les bugs et comprendre comment écrire du code sans tomber dans les mêmes pièges.

Lancé sous le nom de Cipher en 2022, l'entreprise a gagné en popularité. Mais les responsables des systèmes d'information (RSSI) ont commencé à dire à Sugarman que leurs entreprises avaient en fait un problème de sécurité plus important qu'elles cherchaient à résoudre : leurs employés non liés à la sécurité. Sugarman a déclaré que les RSSI décrivent leurs employés comme leur maillon le plus faible en matière de cybersécurité.

« Ce qui m’a le plus surpris, c’est le désespoir que j’ai entendu dans leur voix », a déclaré Sugarman. « Pour eux, c’était un problème insoluble. »

Cipher a ensuite pivoté en janvier 2024 pour se concentrer sur la résolution de ce problème. Aujourd'hui, la startup change de nom pour devenir Anagram afin de refléter sa nouvelle orientation et est en train de mettre fin à son produit d'origine. Anagram a connu une forte croissance depuis son pivot et a décroché des clients tels que Thomson Reuters, MassMutual et Disney, entre autres.

Anagram a récemment levé 10 millions de dollars en série A, menée par Madrona, avec la participation de General Catalyst, Bloomberg Beta et Operator Partners, entre autres. La société prévoit d'utiliser ces fonds pour renforcer son équipe de vente et continuer à améliorer son produit. Sugarman a déclaré que jusqu'à présent, ils ont réussi à réduire le taux d'échec des tentatives de phishing de l'entreprise de 20 % à 6 %, mais il pense qu'ils peuvent continuer à se rapprocher de zéro.

Sugarman a déclaré qu'Anagram avait lancé son produit à un moment vraiment intéressant pour le secteur de la cybersécurité. Avec les progrès de l'IA générative, les campagnes d'ingénierie sociale peuvent être plus personnalisées que jamais, ce qui rendra de plus en plus difficile pour les gens de distinguer le vrai du faux.

« Je pense que cela aura pour effet secondaire que les plateformes de sécurité de messagerie traditionnelles auront beaucoup plus de mal à détecter ces phishings générés par l'IA », a déclaré Sugerman. « Cette capacité de génération et de randomisation est tellement forte qu'il est vraiment très difficile, d'un point de vue technique, de s'en défendre. »

Anagram travaille également au développement d'un agent d'intelligence artificielle qui se trouvera dans les e-mails des employés de l'entreprise et sera formé pour signaler d'éventuelles failles de cybersécurité avant qu'elles ne se produisent. Sugarman a déclaré que l'agent ferait des choses comme demander à quelqu'un s'il veut vraiment envoyer ses informations de carte de crédit par e-mail et d'autres mesures de protection similaires.

En attendant, Anagram espère que ses énigmes et ses vidéos de formation de type TikTok continueront de faire bouger les choses.

« Les humains ne sont pas stupides, nous avons construit des gratte-ciels et nous pouvons voyager dans l’espace », a déclaré Sugarman. « Nous pouvons comprendre comment ne pas cliquer sur un lien suspect dans un e-mail. »