Illustration: un poisson s'apprête à mordre à un hameçon qui perfore un écran d'ordinateur
La 3e campagne de sensibilisation de la DGNSI aux dangers de l’hameçonnage a pris une forme volontairement piégeuse. | Illustration: BIC (LC)
Sécurité numérique

Une campagne de sensibilisation très instructive

L'été dernier, les spécialistes de la sécurité de l’information et de la protection des données de l’État de Vaud lançaient leur 3e campagne interne de sensibilisation aux dangers de l’hameçonnage (phishing)*, technique très prisée des pirates informatiques. Cette campagne se voulait être un parcours didactique avec vidéo, quizz et recommandations. Si de nombreux réflexes sont désormais entrés dans les mœurs, certaines compétences de détection des cybermenaces doivent encore être stimulées.

La 3e campagne de sensibilisation de la DGNSI aux dangers de l’hameçonnage a pris une forme volontairement piégeuse. | Illustration: BIC (LC)
Publié le 30 mars 2022

Après une offre aussi alléchante qu’improbable pour un abonnement fitness en 2018, puis une demande de confirmation pour un hypothétique achat à l’occasion du Black friday en 2019, la Direction générale du numérique et des systèmes d’information (DGNSI), en collaboration avec une société locale spécialisée, a imaginé un nouveau scénario plus subtil pour sa campagne 2021 de sensibilisation aux dangers de l’hameçonnage. Subtil, car, cette fois-ci, cette simulation de phishing envoyée à plus de 13 800 personnes dans l’administration cantonale semblait provenir de ressources internes de l’État, rendant l’exercice plus difficile à déjouer. C’est toujours le cas lorsqu’une attaque est ciblée.

Au départ, un « simple » mail…

Pour rappel, le 31 août 2021, un courriel intitulé « Mise à jour de l’accès à distance SSL VPN VD via Pulse Secure » parvenait à l’ensemble du personnel de l’État (exceptés CHUV et enseignement). La pandémie ayant boosté le télétravail, l’accès à distance via un VPN (réseau privé virtuel) s’est du même coup largement répandu. Cet outil permettant de travailler depuis chez soi de manière sécurisée, cette simulation de phishing totalement anonyme et faite à des fins pédagogiques, était l’occasion ou jamais de tester les réflexes du personnel de l’ACV.

Un test particulièrement difficile

Au final, durant la semaine qui a suivi l’envoi du message, 27 % des utilisateurs ont cliqué sur le lien qui leur était proposé et 24 % de l’ensemble des destinataires sont allés encore plus loin en saisissant un identifiant et un mot de passe qui leur étaient demandés. Comme cette attaque était ciblée et construite, pour paraître légitime, en provenance du service informatique étatique, la démarche a souvent abouti, tout en montrant des résultats comparables à ce qui peut être observé ailleurs dans ce type de situation.  

«Le soin apporté à cibler un groupe déterminé de destinataires, tous concernés par l’objet choisi pour l’attaque, a permis d’endormir certains signaux d’alerte aiguisés grâce aux deux précédentes campagnes de sensibilisation», explique Sam Vuilleumier, l’un des principaux artisans de cette campagne. Ce spécialiste en sécurité de l’information et en protection des données à la DGNSI ne cache pas que ce test était particulièrement difficile : «Pour renforcer l’impression de légitimité, nous avions également glissé un lien tout à fait officiel en fin de message, qui renvoyait à une page existante du site internet de l’État de Vaud. Les pirates du web agissent eux aussi fréquemment de cette manière…»

 

«Le soin apporté à cibler un groupe déterminé de destinataires, tous concernés par l’objet choisi pour l’attaque, a permis d’endormir certains signaux d’alerte aiguisés grâce aux deux précédentes campagnes de sensibilisation»

Sam VuilleumierSpécialiste en sécurité de l'information et protection des données

«L’idée n’est pas de piéger, mais de former»

 « Nous en sommes aujourd’hui à notre troisième campagne de sensibilisation de ce type et il est important pour nous de rappeler qu’elle n’est pas réalisée dans une logique de piéger les utilisateurs, mais vraiment pour évaluer la situation, exercer les bons réflexes dans différents contextes et réduire ainsi les risques pour les systèmes d’information de l’ACV », explique Marc Barbezat, directeur de la sécurité numérique à la DGNSI, qui précise : « Ces exercices requièrent une préparation importante de coordination. Nous les voulons complètement anonymes dans le respect le plus strict de la protection des données personnelles. »

Mais quand même, 27 % de clics – donc environ 3800 personnes concernées –, n’est-ce pas un peu décourageant ? « Concernant les pourcentages de clics, ce sont des moyennes habituelles à notre connaissance », confirme le directeur de la sécurité numérique, qui tient toutefois à souligner qu’il suffit qu’une seule personne clique ou télécharge une pièce jointe malicieuse pour faciliter une cyberattaque. « Il est évident que nous ne pouvons pas imaginer le cas d’un zéro clic, et c’est ce qui donne tout son sens au rôle essentiel de notre Centre opérationnel de sécurité (SOC), qui œuvre 7/7 j et 24/24 h. La sécurité se construit par couches, c’est un long chemin et non pas une destination unique et ponctuelle.» 

Améliorer ses connaissances

Pour les responsables de l’informatique de l’État, le but de ces campagnes de sensibilisation est aussi et surtout de donner au personnel de l’administration des armes efficaces contre les tentatives de cyberattaque.

«Lors de chacune de nos simulations, des supports électroniques, vidéos, quizz didactiques, références et outils partageant des conseils et explications pédagogiques, ainsi qu’un retour sur les résultats observés, sont joints à certaines étapes du cursus pédagogique prévu après l’envoi du courriel de test. Ceci permet aux utilisatrices et utilisateurs de mieux comprendre les points d’attention qui devront attirer leur vigilance à l’avenir, tant dans le domaine professionnel que privé », conclut Sam Vuilleumier. (MHJ)

*Le phishing ou hameçonnage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte d’identité, date de naissance, etc. (Source Wikipédia).

Ci-dessous retrouvez les encadrés pour en savoir plus:

  • Ce que la DGNSI ne vous demandera pas de faire par mail (signaux d'alerte)
  • Comment détecter un message de phishing
  • Trois simulations de phishing et d'autres à venir
  • Tous les liens pour se former ou en savoir plus

Les signaux d’alerte

La DGNSI ne demandera jamais de faire une mise à jour de logiciel par le biais d’un lien ou d’un portail web. Les mises à jour sont toujours proposées automatiquement sur les postes de travail au travers du Centre logiciel, et les utilisatrices et utilisateurs en sont informés par un pop-up ou par un rappel sur le poste de travail.

La DGNSI ne demandera pas non plus de rentrer nos identifiants d’accès professionnels dans une application inconnue. Les accès sont demandés soit par Windows sur notre ordinateur professionnel, soit par le portail IAM. Il faut toujours être méfiant lorsqu’on nous demande de rentrer le couple identifiant-mot de passe dans une interface que nous ne connaissons pas.

Enfin, l’expéditeur d’e-mails piégés utilise des adresses étranges. Rappelons que les e-mails provenant de l’administration cantonale seront toujours terminés par @vd.ch.

La sécurité informatique et la protection de la vie privée exigent du bon sens avant tout.

    Comment détecter un message de phising

    1.  Vérifiez la cohérence du message

    • Est-ce qu’il a du sens ? Est-ce normal que vous le receviez ?
    • Détectez-vous des anomalies ? Est-ce qu’il a l’air bizarre ?
    • Est-ce que le message est urgent ? Êtes-vous mis sous pression ?
    • Est-ce qu’il comporte des fichiers joints ?
    • Est-ce que vous attendiez ce message ?

    2.  Vérifiez où les liens internet du message vous redirigent

    • Pour voir la destination d’un lien, passez votre souris dessus sans cliquer.

    3.  Ne pas se fier à l’adresse d’expédition

    • L’adresse de l’expéditeur n’est pas pertinente, car facilement falsifiable.
    • Même si elle est valide, ce n’est pas la preuve que le message est légitime.

    Vous êtes dans le doute ? Ne cliquez pas, ne répondez pas.

    • Au travail : signalez le message au helpdesk ou au SOC.
    • À la maison : effacez le message.

    Trois simulations et d’autres à venir

    L’État de Vaud, par le biais de sa Direction générale du numérique et des systèmes d’information (DGNSI), a à cœur, et pour mission, de sensibiliser le personnel de l’État aux dangers du phishing (hameçonnage). Pour ce faire, trois campagnes de sensibilisation de ce type ont déjà été menées au sein de l’Administration cantonale :

    • En 2018 : le 25 janvier, un courriel est adressé à 13 400 collaboratrices et collaborateurs de l’État de Vaud. Le message ciblé les invite à souscrire à VaudFit, un soi-disant abonnement de fitness et wellness très avantageux. Résultats : 26,8 % des utilisateurs ont cliqué, 18,6 % ont entré leur identifiant et 18,5 % ont téléchargé le document d’inscription.
       
    • En 2019-2020 : entre décembre 2019 et janvier 2020, un nouvel e-mail, non ciblé cette fois, est envoyé à près de 13 700 collaboratrices et collaborateurs de l’État de Vaud leur demandant une confirmation pour un hypothétique achat à l’occasion du Black Friday. Résultats : 11,5 % des utilisateurs ont cliqué et 4,4 % ont exécuté la macro.
       
    • En 2021 : nouvelle simulation ciblée de phishing le 31 août, date à laquelle la DGNSI envoie un e-mail à plus de 13 800 collaboratrices et collaborateurs de l’État de Vaud les incitant à mettre à jour leur outil d’accès à distance (VPN) en cliquant sur un lien, puis à renseigner leur identifiant et leur mot de passe. Résultats : 27 % des utilisateurs ont cliqué et 24 % ont entré un identifiant et un mot de passe.
       
    • La suite : différentes mesures et démarches d’information, de sensibilisation et de formation continueront à être déployées afin de limiter l’exposition des systèmes étatiques et des données sous gestion des administrés et du personnel aux risques et aux erreurs. Le respect de certaines normes ISO relatives à la gestion de la gouvernance, de la sécurité et à la protection de la sphère privée, impose à la DGNSI une approche par l’amélioration continue et une certaine régularité. 

    En savoir plus

    • eSUSI : une formation interactive à la sécurité de l’information.
    • Campagne de cybersécurité de l’État de Vaud : des conseils de sécurité pour les usagers de la cyberadministration vaudoise.
    • Votrepolice : un matériel de prévention complet sur la cybercriminalité.
    • S-U-P-E-R : une campagne de sensibilisation à la sécurité numérique de la Prévention suisse de la cybercriminalité.
    • Centre national pour la cybersécurité : des conseils sur tous les thèmes de la sécurité en ligne.
    • Cybersécurité Vaud : une application pour les entreprises et des conseils pratiques indiquant quoi faire si vous êtes victime (rubrique Assistance).

    Continuez votre lecture