Le faux mail de «Léa Rossier» a été insuffisamment détecté
Avec 47'109 destinataires, la 6e campagne de sensibilisation au risque du phishing est la première à atteindre un public aussi large au sein du personnel de l’État de Vaud. Aïe ! Plus d’un quart des destinataires du faux message urgent de «Léa Rossier» n’y ont rien vu de malveillant… L’occasion de rappeler que l’hameçonnage reste la cybermenace la plus courante. Explications et astuces.
Personne n’est à l’abri d’un clic malheureux. Vite arrivé, quand on ne veut pas laisser traîner une demande «urgente» qui nous arrive par mail! Celle d’une certaine Léa Rossier, tombée la première semaine de novembre dans la boîte de plus de 47'000 collaboratrices et collaborateurs de l’Etat de Vaud, avait justement pour but de nous sensibiliser une nouvelle fois aux dangers du phishing – en français, de l’hameçonnage. Pour rappel, le but d’un tel l’exercice, qui reste anonyme, vise la prévention et l’appel à la vigilance individuelle.
Résultat insatisfaisant
Cette semaine-là, plus d’un quart (29%) des destinataires du faux mail malveillant n’ont pas détecté ce test et ont malheureusement cliqué sur le lien. Pis, un destinataire sur dix (11%) a même saisi un identifiant et un mot de passe. Ces résultats ne peuvent nous satisfaire, d’autant qu’un seul clic malheureux peut provoquer un vol d’identité et favoriser ensuite une intrusion informatique. Il faut savoir que près de la moitié des courriels envoyés dans le monde sont des tentatives d’hameçonnage et que 90% des violations de données commencent par là.
Sam Vuilleumier, spécialiste en sécurité de l’information et protection des données et l’un des principaux artisans de ce test, se réjouit néanmoins de voir que, dans certaines entités, jusqu’à 25% des usagers ont signalé le mail comme suspect aux Helpdesks ou à la sécurité.
Toutefois, se gardant bien de comparer avec les campagnes précédentes aux scénarios très différents, il relève que les résultats de ce faux hameçonnage montrent la nécessité de continuer à former et à aiguiser les réflexes de prudence de toutes les personnes qui travaillent pour l’État de Vaud. «Nous devrons concentrer notre attention sur les entités, les comportements et les habitudes les plus à risque», insiste le spécialiste.
Le scénario de cette année, qui se voulait réaliste, généraliste et neutre, consistait à simuler le partage d’un document professionnel à revoir urgemment. Photo | Rawf8 Transparence et coopération
Cette 6e campagne de prévention, coordonnée par la Direction sécurité de la DGNSI, est la première à toucher un public cible aussi large au sein des institutions cantonales. Cela va de l’administration vaudoise aux élus du Grand Conseil en passant par le personnel et les enseignants des établissements obligatoires et postobligatoires, le CHUV et Unisanté.
Cet exercice est aussi une démonstration concrète de la bonne coopération entre les équipes de cybersécurité et sécurité de l'information de toutes les institutions impliquées. En misant sur la transparence, ces équipes souhaitent d’abord rappeler que la sécurité est l’affaire de chacun et que nous devons tous nous engager à réduire ce nombre trop important de clics dangereux. À la lumière de ces résultats globaux, il est évident que cette collaboration reste une nécessité pour progresser et lutter ensemble de manière plus efficace contre les cyberrisques.
Quels indices guetter ?
Le scénario de cette année, qui se voulait réaliste, généraliste et neutre, consistait à simuler le partage d’un document professionnel à revoir urgemment.
Les personnes qui ont saisi des identifiants ont alors vu s’afficher un message de prévention. La démarche est en effet « pédagogique et l’objectif est de permettre aux utilisatrices et utilisateurs d’apprendre à détecter les messages malveillants, de savoir repérer les indices et d’identifier les signaux d’alerte », souligne-t-on à la DGNSI.
Quels sont ces signaux justement ? Un ou plusieurs des éléments suivants peuvent nous mettre la puce à l’oreille :
- Contenu
Méfiez-vous d’un message qui instille un sentiment d’urgence et/ou de peur. La présence de fautes d’orthographe ou de grammaire est également révélatrice d’une tentative malveillante.
- Expéditeur
Ce peut être un indice, mais il faut savoir que la provenance d'un email peut être facilement falsifiée. Envoyer un e-mail en se faisant passer pour president@vd.ch est malheureusement très simple à réaliser.
- Liens
Ne faites pas confiance aux liens visibles dans un e-mail. Il y a une différence entre ce que vous voyez et la cible vers laquelle pointe ce lien en réalité. Survolez le lien avec le curseur (sans cliquer) pour voir le lien réel et vérifiez si le nom de domaine est légitime (p. ex. : vd.ch). La même vigilance doit prévaloir vis-à-vis des codes QR et des pièces jointes. Ne fonçons pas tête baissée, prenons le temps de réfléchir avant de cliquer.
- Vos informations
Ne fournissez jamais d'informations personnelles (login, mot de passe, coordonnées de carte de crédit, etc.) par e-mail. Évitez aussi de le faire via un site tiers inconnu, dont l'adresse vous a été communiquée par e-mail.
Tous les conseils et astuces pour acquérir les bons réflexes sont mis en scène ici :
https://www.esusi.vd.ch/reperer-le-phishing/
Et comme se plaisent à le relever les équipes de sécurité de l’État, «notre vigilance et notre bon sens restent notre meilleure défense». (CJ)
