Des efforts à poursuivre pour se protéger de la cybercriminalité
Pour sa 4e campagne interne de sensibilisation aux dangers de l’hameçonnage (phishing) sur internet, réalisée en décembre dernier, la Direction générale du numérique et des systèmes d’information nous avait appâtés en proposant, par courriel, une formation sur la sécurité au travail. Nous avons été nombreux à nous engouffrer dans la brèche. L’occasion de rappeler les bonnes pratiques.
En fin d’année dernière, un nouvel exercice de sensibilisation au phishing a été élaboré conjointement par la Direction générale du numérique et des systèmes d’information (DGNSI) et la Direction générale de l’enseignement obligatoire (DGEO). Lors de cette première action commune, plus de 27 000 destinataires (15 900 personnes travaillant à l’administration cantonale et 11 200 à la DGEO) ont reçu un e-mail vantant les mérites d’une formation en ligne consacrée à la sécurité au travail.
Un e-mail « classique »
Ce message avait toutes les apparences d’un e-mail «classique» et provenait d’un présumé Bureau de santé et sécurité au travail (BSST). Deux fautes d’orthographe grossières dans le texte d’accompagnement auraient dû nous mettre rapidement la puce à l’oreille. À partir de ce constat, la prudence devait nous inciter à faire une rapide recherche sur internet, qui montre qu’aucune trace d’un quelconque BSST n’est répertoriée en Suisse. Enfin, le lien sur un domaine (URL) non étatique et l’adresse de l’expéditeur introuvable dans l’annuaire de l’État de Vaud auraient également dû réveiller notre méfiance et nous inciter à ne pas nous aventurer plus loin dans ce message… …
« Au cours de cette simulation, 21% des 15 900 destinataires de l’administration ont cliqué sur le lien censé les conduire à la formation et 8% ont entré un identifiant et un mot de passe »
Et pourtant… «Au cours de cette simulation, 21 % des 15 900 destinataires de l’administration ont cliqué sur le lien censé les conduire à la formation et 8% ont entré un identifiant et un mot de passe», détaille Sam Vuilleumier, spécialiste en sécurité de l’information à la DGNSI et cheville ouvrière de cette campagne de sensibilisation. Chez les 11 200 destinataires de la DGEO, les résultats indiquent que «13% des personnes ont ouvert le lien, et 5% ont également saisi les identifiants demandés.»
Certaines professions seraient-elles mieux préparées que d’autres pour identifier les indices liés aux cyberarnaques ? Pour l’heure, il est difficile de tirer des conclusions sur les variations de résultats. «Mais l’extension du périmètre nous donne de nouvelles pistes de réflexions et d’investigations, qui devraient nous permettre d’affiner et de renforcer ces exercices préventifs pour nos prochaines campagnes de sensibilisation», confirme l’expert.
Bien, mais peut mieux faire !
«Les résultats sont là, et pour être tout à fait franc, ils sont satisfaisants, mais pourraient être meilleurs», avoue Sam Vuilleumier. C’est inquiétant ? «Non, mais nous espérions que les chiffres progresseraient plus rapidement d’année en année, et là, force est de constater que nous nous améliorons à petits pas. Il est vrai toutefois que nos quatre campagnes de sensibilisation, déployées dès 2018, ont abordé des thèmes très variés (lire encadré ci-dessous), donc des niveaux de personnalisation pour des publics cibles très différents aussi, rendant de ce fait les comparaisons difficiles.»
«En publiant ces résultats globaux, nous adhérons au principe de transparence cher à l’État. Cela permet aux entités de se situer dans cette problématique et nous rappelle qu’il faut savoir rester humble et vigilant, car un seul clic peut compromettre tout un système informatique», argumente de son côté Marc Barbezat, directeur de la sécurité numérique à la DGNSI.
Des réflexes à aiguiser
Répétons-le, le but de ces simulations n’est pas de piéger le personnel ni de distribuer de bons ou de mauvais points, mais bien d’aiguiser les réflexes de prudence dans notre monde hyperconnecté. «Notre démarche est pédagogique et notre objectif est de permettre aux utilisatrices et utilisateurs d’apprendre à détecter les messages malveillants, de savoir repérer les indices et d’identifier les signaux d’alerte», souligne-t-on du côté de la DGNSI.
À la suite du message initial, chaque destinataire a d’ailleurs été invité à suivre une courte formation en ligne avec des questions et des exemples concrets pour affronter plus efficacement la réalité des dangers rencontrés. Un apprentissage utile et nécessaire, aussi bien dans le cadre de nos vies professionnelles que privées.
Vigilance et bon sens
Un conseil simple à donner ? «À la réception d’un courriel, quelques éléments doivent attirer notre attention : on contrôlera l’adresse de l’expéditeur ainsi que le nom du domaine (URL) qui se cache derrière un lien proposé dans le message ; on n’ouvrira jamais une pièce jointe si ces premiers contrôles semblent suspects. C’est tout simplement une question de vigilance et de bon sens», résume Sam Vuilleumier, avant de préciser : «Des formations sont à la disposition de toutes et tous et d’autres campagnes de sensibilisation seront menées régulièrement pour permettre à chacune et à chacun d’adopter les bonnes pratiques pour éviter de se faire gruger par les cybercriminels.»
Il est enfin important de rappeler qu’il est possible d’annoncer automatiquement un e-mail suspect via le bouton d’alerte mis à disposition dans les messageries Outlook de l’État. «Ce canal est précieux pour le Centre de sécurité opérationnelle (SOC) de la DGNSI, qui procède à des analyses du matériel qui lui est transmis. Et cela démontre, en ces temps où l’intelligence artificielle fait la une de tous les journaux, que l’intelligence humaine reste fondamentale pour assurer la sécurité et la protection des données de l’État», conclut de son côté Marc Barbezat. (MHJ)
À lire ou à relire sur le même sujet :
- Les résultats de la précédente campagne (Gazette du 30 mars 2022)
- Un petit bouton pour éviter de gros ennuis (Gazette du 27 février 2020)
- Les dangers de l’hameçonnage (Gazette du 21 décembre 2017)
Déjà quatre campagnes et d’autres à venir
En 2018 : fin janvier, un courriel est adressé à 13 400 collaboratrices et collaborateurs de l’État de Vaud. Le message ciblé les invite à souscrire à VaudFit, un soi-disant abonnement de fitness et wellness très avantageux. Résultats : 26,8 % des utilisateurs ont cliqué, 18,6 % ont entré leur identifiant et 18,5 % ont téléchargé le document d’inscription.
En 2019-2020 : entre décembre 2019 et janvier 2020, un nouvel e-mail, non ciblé cette fois, est envoyé à près de 13 700 collaboratrices et collaborateurs de l’État de Vaud leur demandant une confirmation pour un hypothétique achat à l’occasion du Black Friday. Résultats : 11,5 % des utilisateurs ont cliqué et 4,4 % ont ouvert le fichier joint.
En 2021 : nouvelle simulation ciblée de phishing le 31 août, date à laquelle la DGNSI envoie un e-mail à plus de 13 800 collaboratrices et collaborateurs de l’État de Vaud les incitant à mettre à jour leur outil d’accès à distance (VPN PulseSecure) en cliquant sur un lien, puis à renseigner leur identifiant et leur mot de passe. Résultats : 27 % des utilisateurs ont cliqué et 24 % ont entré un identifiant et un mot de passe.
En 2022-2023 : nouvellecampagne sur le thème «Sécurité au travail». 21 % des 15 900 personnes ciblées à l’ACV ont cliqué et 8 % ont saisi des données. La DGEO a également participé à la campagne avec 11 200 usagers, dont 13 % ont cliqué sur le lien et 5 % ont saisi des identifiants.
Les simulations de phishing organisées par l’État de Vaud, par le biais de sa Direction générale du numérique et des systèmes d’information (DGNSI), sont pédagogiques, anonymes et conformes à la législation sur la protection des données.
Le phishing en deux mots
Le phishing, ou hameçonnage est une technique répandue utilisée par des fraudeurs pour nous abuser. Ceux-ci envoient des e-mails qui simulent un message légitime ou officiel, nous invitent à cliquer sur un lien, à ouvrir un document en pièce jointe, à fournir des informations sensibles ou à verser de l’argent.
Ce faisant, les cybercriminels cherchent bien sûr à voler des informations, comme nos identifiants et mots de passe ou notre numéro de carte de crédit. Ils peuvent également installer un virus sur notre ordinateur, à travers une pièce jointe infectée ou un lien malveillant. Ce virus bloque l’accès à nos données et à nos fichiers, qui ne seront plus lisibles sans une clé de déchiffrement en mains du maître chanteur. C’est la voie ouverte pour une demande de rançon.
Rappelons que les courriels restent aujourd’hui l’un des vecteurs préférés des cybercriminels. Ces derniers ne cessent d’améliorer leurs techniques, et les outils de traduction alliés à de l’intelligence artificielle sont là pour les aider à produire des messages de plus en plus crédibles et attractifs. Ce constat renforce la pertinence des campagnes de sensibilisation menées au sein de l’État de Vaud.