Phishing au Mobile Money : pourquoi les formations classiques ne protègent pas vos équipes
Les plateformes de sensibilisation internationales simulent des attaques bancaires occidentales. En Afrique de l’Ouest, la fraude passe par Orange Money, MTN MoMo et Wave. Voilà pourquoi l’écart compte.
Une entreprise abidjanaise forme ses équipes avec une plateforme internationale. Les collaborateurs apprennent à repérer un faux email de leur banque, une fausse facture PayPal, une usurpation de service informatique. Ils réussissent les tests haut la main.
Trois semaines plus tard, un comptable reçoit un SMS : « Votre compte marchand Orange Money sera suspendu sous 24h. Confirmez vos informations. » Il clique.
Le décalage est structurel, pas anecdotique
Les plateformes de sensibilisation conçues en Amérique du Nord ou en Europe simulent les attaques qui y sévissent. C’est logique, et parfaitement inutile ici.
En Afrique de l’Ouest, le vecteur dominant n’est pas l’email : c’est le SMS (on parle alors de smishing), et le prétexte n’est pas le compte bancaire, c’est le portefeuille mobile. Orange Money, MTN MoMo, Wave, Moov Money concentrent une part majeure des flux financiers des entreprises comme des particuliers.
Former quelqu’un à reconnaître un faux email de banque américaine ne lui apprend rien sur le faux SMS d’Orange Money qu’il recevra réellement.
Ce qu’un test réaliste change
Un exercice de sensibilisation n’a de valeur que s’il reproduit la pression réelle : le bon canal, le bon opérateur, le bon niveau d’urgence, le bon français local. C’est à cette condition qu’on mesure une vraie vulnérabilité — et qu’on la corrige.
Concrètement, un programme utile dans notre contexte comporte au minimum :
- des simulations de smishing calquées sur les opérateurs Mobile Money réellement utilisés dans l’organisation ;
- des scénarios de fraude au président adaptés aux circuits de validation locaux ;
- une vérification de la configuration de la messagerie d’entreprise (SPF, DKIM, DMARC) — sans elle, n’importe qui peut usurper votre nom de domaine ;
- des rappels réguliers, pas une session annuelle qu’on oublie en trois semaines.
Le point aveugle des DSI
La plupart des organisations que nous rencontrons disposent d’un antivirus correct, parfois d’un pare-feu récent. Presque aucune n’a testé la réaction réelle de ses équipes face à une arnaque locale.
C’est précisément l’écart que nous avons voulu combler en développant SmartCyberGuard : une plateforme de sensibilisation dont les simulations sont conçues ici, pour les menaces d’ici.
Vous voulez savoir où en sont vos équipes ? Notre diagnostic gratuit inclut une évaluation de votre exposition au facteur humain. Restitué en 48 heures, sans engagement.
- #phishing
- #mobile money
- #sensibilisation
- #smishing
Et chez vous, où en êtes-vous ?
Diagnostic IT gratuit, restitué en 48 heures — sans engagement.
Diagnostic IT gratuit