par La startup française Riot a levé un tour de table de série A de 12 millions de dollars pour itérer sur sa plateforme tout-en-un de sensibilisation à la cybersécurité pour les entreprises et leurs employés. La startup se concentrait à l’origine sur les fausses campagnes de phishing. Il propose désormais également un contenu éducatif personnalisé qui peut aider à développer la culture de la cybersécurité dans votre équipe.
Alors qu’il est encore assez difficile de lever un tour de table dans l’environnement économique actuel, Riot a réussi à constituer une liste intéressante d’investisseurs. Base10, une société de capital-risque basée à San Francisco qui avait précédemment investi dans des startups phares telles que Figma, Notion et CircleCI, a dirigé le cycle de financement d’aujourd’hui.
Certains anges ayant une formation technique et opérationnelle ont également investi dans le cycle, tels que le fondateur de Snyk, Guy Podjarny, le co-fondateur de Duolingo, Severin Hacker, le co-fondateur de Supercell, Ilkka Paananen, le co-fondateur de Deel, Alex Bouaziz et le CPO de Slack, Tamar Yehoshua. Certains des investisseurs existants de Riot ont également mis plus d’argent sur la table, tels que Y Combinator, Funders Club et Founders Future.
Et la raison pour laquelle ces investisseurs se sont alignés pour participer à la ronde est que la cybersécurité n’a jamais été une question aussi d’actualité. Chez TechCrunch, nous couvrons une part équitable des campagnes de rançongiciels, des échanges de cartes SIM pour accéder aux comptes d’utilisateurs et des fuites de bases de données avec des données sensibles telles que les informations de carte de crédit.
Mais on sent que les choses s’accélèrent. Les attaques sont de plus en plus sophistiquées et répandues. Il y a quelques années, la fraude au PDG était encore relativement nouvelle. Désormais, même les petites entreprises sont ciblées par des campagnes élaborées.
Par exemple, j’ai récemment entendu parler d’un chef comptable qui a reçu un e-mail d’un fournisseur important disant que le compte bancaire avait changé. L’e-mail avait l’air réel parce qu’il était réel : le compte de messagerie du fournisseur avait été compromis et il y avait des factures impayées. Le compte bancaire n’appartenait cependant pas au fournisseur.
Comme je l’ai écrit dans mon premier article sur Riot, la sécurité de votre entreprise est aussi forte que votre employé le moins prudent. Une violation de données commence généralement par un compte interne mal sécurisé avec une authentification à deux facteurs désactivée. Tout le monde pourrait désormais potentiellement recevoir de faux e-mails, des appels téléphoniques, des SMS et des lettres administratives qui ressemblent à la réalité.
Construire un produit éducatif moderne
Si vous travaillez pour une grande entreprise avec des exigences réglementaires importantes, il y a de fortes chances que vous receviez régulièrement des vidéos de formation obligatoires avec des quiz rapides à la fin. Beaucoup de gens regardent ces vidéos en arrière-plan et font autre chose. Ils prêtent à peine attention au contenu des vidéos.
L’interface principale de Riot est un chatbot appelé Albert. Il est disponible sur Slack, Microsoft Teams ou via une interface web. Chaque cours est interactif et le contenu change de manière dynamique en fonction des connaissances en cybersécurité de chaque employé.
“J’ai lu une étude des années 1980 et ils examinaient l’efficacité de chaque méthode d’enseignement”, m’a dit le fondateur et PDG de Riot, Benjamin Netter. “Avec des relations individuelles, lorsque vous enseignez à quelqu’un individuellement, l’élève est meilleur qu’un élève qui assiste à des cours normaux dans 98 % des cas. Nous ne pouvons pas avoir un enseignant par élève à grande échelle, mais nous essayons de créer ces relations individuelles. »
Par exemple, au lieu de donner une définition générale d’une violation de données, Riot commence par vous dire que votre adresse e-mail peut être trouvée dans cinq violations de données différentes. Lorsque l’entreprise vous dit ensuite ce que cela signifie, vous êtes plus susceptible de faire attention et d’atteindre la fin de la formation. Les administrateurs peuvent ensuite suivre les progrès de leurs équipes.
Ce n’est qu’un exemple, mais Riot pourrait également encourager les employés à activer l’authentification à deux facteurs sur les services importants. De nombreux pirates s’appuient également sur les données de LinkedIn pour savoir avec qui vous travaillez et envoyer un message en utilisant le nom d’un collègue.
C’est pourquoi Riot peut encourager les membres de votre équipe à modifier leurs paramètres de confidentialité afin de prévenir de manière proactive les menaces de cybersécurité. Et de nombreuses entreprises ont déjà réalisé que les profils LinkedIn sont utilisés dans les attaques d’ingénierie sociale. Dans le manuel de l’entreprise pour les nouveaux employés, l’échange de crypto-monnaie Kraken dit à ses employés qu’ils ne devraient pas mettre à jour leur profil LinkedIn pour dire qu’ils travaillent pour Kraken.
Utiliser l’IA pour combattre l’IA
Riot a récemment franchi le cap des 2 millions de dollars de revenus annuels récurrents. Au total, Riot atteint 100 000 employés chez ses clients, comme Y Combinator, Deel, Intercom et Le Monde. Mais la startup pense que la cybersécurité va changer radicalement dans les années à venir et les attaques modernes ne font que commencer.
“Cette année, notre grand pas sera l’IA. Quand je dis cela, je suis un peu agacé car les gens pensent que nous suivons les tendances. Mais nous suivons l’IA depuis un certain temps », a déclaré Netter.
Les grands modèles de langage comme GPT-3 ou les modèles de reconnaissance vocale comme Whisper vont changer la nature des menaces de cybersécurité. “L’IA va avoir un impact énorme sur le piratage et l’ingénierie sociale. Le ton a toujours été le problème avec les e-mails de phishing. Mais l’IA va résoudre ces problèmes de tonalité », a déclaré Netter.
Même au-delà des e-mails de phishing classiques, il deviendra plus facile de mener des campagnes sophistiquées À l’échelle. Par exemple, avec les API de synthèse vocale, GPT-3 et de synthèse vocale, les pirates pourraient augmenter considérablement le nombre et la qualité des attaques par téléphone. Ou peut-être pourraient-ils utiliser des messages vocaux pour que leurs messages soient plus crédibles.
Alors que les pirates améliorent leur jeu, Riot souhaite également améliorer son produit. Les modèles de langage basés sur le dialogue comme ChatGPT ouvrent de nouvelles opportunités. C’est pourquoi Riot teste déjà des cours de forme libre avec Albert, son copain virtuel de cybersécurité. Au lieu de sélectionner des réponses dans un menu déroulant ou d’envoyer des requêtes simples, les utilisateurs de Riot écriront bientôt de longs messages directement à Albert.
Récemment, la startup a créé une expérience interne amusante qu’elle ne prévoit pas de rendre publique. “C’est une formation qui vous demande de vous mettre à la place d’un pirate informatique et vous devez obtenir les informations de carte de crédit d’Albert”, a déclaré Netter. Bien que cela puisse être un peu trop controversé pour les clients de Riot, la même technologie rendra les attaques simulées de l’entreprise beaucoup plus sophistiquées – et c’est une feuille de route prometteuse.
