Malgré les employeurs exigeant que leurs employés suivent des cours de formation en cybersécurité chaque année, des violations de cybersécurité causées par des erreurs humaines continuent de se produire. Le problème pourrait même s'aggraver considérablement avec l'augmentation de l'intelligence artificielle générative qui accroît l'échelle et la personnalisation des campagnes d'ingénierie sociale.
Anagram, anciennement connu sous le nom de Cipher, adopte une nouvelle approche à la formation en cybersécurité des employés que l'entreprise espère pouvoir suivre l'évolution de la nature de ces campagnes.
L'entreprise basée à New York a construit une plateforme qui propose une formation en sécurité pratique pour les entreprises. La formation comprend des vidéos concises et des puzzles interactifs personnalisés pour apprendre aux employés à repérer les courriels et les communications suspects. Ces formations sont conçues pour être plus fréquentes et plus engageantes que la norme actuelle d'une session de formation longue et annuelle.
Harley Sugarman, le fondateur et PDG d'Anagram, a déclaré à TechCrunch que ces activités incluent des tâches comme demander aux employés de créer leurs propres courriels d'hameçonnage personnalisés pour leur apprendre à repérer les campagnes sophistiquées dirigées contre eux-mêmes.
"Nous n'avons pas du tout été inspirés par ce qui existe déjà", a déclaré Sugarman à propos de la formation en cybersécurité existante. "Ce que nous avons vraiment fait, c'est tirer des leçons de TikTok, de Duolingo et de Khan Academy. Nous avons examiné ces plateformes qui réussissent très bien à engager et à changer le comportement des utilisateurs en dehors de l'espace de la sécurité et nous nous sommes demandé, OK, comment pouvons-nous appliquer ces leçons dans la sécurité ?"
Créer une formation en cybersécurité ludique n'était pas ce que Sugarman, un ancien VC chez Bloomberg Beta, avait prévu de faire lorsqu'il a lancé initialement l'entreprise.
La première idée de Sugarman était une manière de reprendre l'approche de formation "capture the flag" de l'industrie de la cybersécurité pour perfectionner les employés en cybersécurité des entreprises. Cette approche de formation implique de construire des logiciels avec des vulnérabilités et de permettre aux chercheurs en sécurité d'aller dans le logiciel pour trouver les bogues et comprendre comment écrire du code sans tomber dans les mêmes pièges.
La société a été lancée sous le nom de Cipher en 2022 et a connu un certain succès. Mais les directeurs de la sécurité de l'information (CISO) ont commencé à dire à Sugarman que leurs entreprises avaient en réalité un problème de sécurité plus important qu'ils cherchaient à résoudre : leurs employés non spécialisés en sécurité. Sugarman a déclaré que les CISO décrivent leurs employés comme leur maillon le plus faible en matière de cybersécurité.
"Ce qui m'a un peu surpris, c'est en fait le degré de désespoir que j'ai entendu dans leurs voix", a déclaré Sugarman. "C'était un problème insoluble pour eux."
Cipher a alors pivoté en janvier 2024 pour se concentrer sur la résolution de ce problème. Maintenant, la start-up change son nom en Anagram pour refléter son nouveau focus et est en train de mettre fin à son produit original. Anagram a connu une forte croissance depuis son pivot et a conclu des accords avec des clients tels que Thomson Reuters, MassMutual et Disney, entre autres.
Anagram a récemment levé une série A de 10 millions de dollars menée par Madrona avec la participation de General Catalyst, Bloomberg Beta et Operator Partners, entre autres. L'entreprise prévoit d'utiliser les fonds pour renforcer son équipe commerciale et continuer à améliorer le produit. Sugarman a déclaré jusqu'à présent, ils ont réussi à réduire les taux d'échec des tentatives de hameçonnage des entreprises de 20% à 6%, mais il pense qu'ils peuvent continuer à s'approcher de zéro.
Sugarman a déclaré qu'Anagram avait lancé son produit à un moment d'inflexion vraiment intéressant pour l'industrie de la cybersécurité. Avec les avancées de l'intelligence artificielle générative, les campagnes d'ingénierie sociale peuvent être plus personnalisées que jamais, ce qui rendra de plus en plus difficile pour les gens de distinguer le vrai du faux.
"Je pense que l'effet secondaire de tout cela est que les plates-formes de sécurité des courriels traditionnelles auront en fait beaucoup plus de mal à détecter ces faux générés par l'IA", a déclaré Sugarman. "Cette capacité à générer et à randomiser est tellement puissante, et il est vraiment, vraiment difficile, d'un point de vue technique, de se défendre contre cela."
Anagram travaille également à développer un agent d'IA qui s'assiéra dans les courriels des employés de l'entreprise et sera formé pour signaler les erreurs potentielles en matière de cybersécurité avant qu'elles ne se produisent. Sugarman a déclaré que l'agent ferait des choses comme apparaître pour demander à quelqu'un s'ils veulent vraiment envoyer leurs informations de carte de crédit par courrier électronique et d'autres mesures de protection similaires.
Entre-temps, Anagram espère que ses puzzles et ses vidéos de formation TikTok-like continueront à faire avancer les choses.
"Les humains ne sont pas idiots, nous avons construit des gratte-ciel, nous pouvons voyager dans l'espace", a déclaré Sugarman. "Nous pouvons trouver comment ne pas cliquer sur un lien suspect dans un courriel."
