Illustration: reprise du faux mail, deux souris s'approchent d'un bouton ressemblant à un bout de fromage
Numérique

Sensibilisation au phishing: bien vu, mais ne baissons pas la garde!

La 7e campagne de sensibilisation aux mails dangereux montre une vraie progression de nos réflexes. Mais face à des attaques de plus en plus sophistiquées, nous sommes tous appelés à élever notre niveau de vigilance.

 

Réaliste et tentant, il donnait envie de cliquer. Le faux message malveillant envoyé en décembre dernier visait, pour la 7e année, à sensibiliser l’ensemble du personnel de l’Etat de Vaud.

En ciblant pour la première fois presque toutes les entités – soit plus de 51'000 personnes - un plafond a été atteint. Une telle ampleur rend difficile la comparaison entre les campagnes, si ce n’est avec celle presqu’aussi conséquente de l’an dernier et ses 47'000 envois. L’analyse des résultats montre toutefois que nous sommes sur la bonne voie.

Mieux mais encore trop

Sur les 51'228 destinataires du faux mail, 11% ont cliqué sur le lien (contre 29% l’année précédente) et 6% (contre 11% en 2024) ont continué et saisi leurs accès. Certes, c’est bien mieux ! Mais en chiffres absolus, cela représente encore des milliers de clics sur un lien qui aurait pu être malveillant. Il faut dire que c’était trompeur.

Deux textes ont été envoyés, selon les entités destinataires : « Activez votre nouvelle fonctionnalité : l'Assistant IA sécurisé pour vos courriels » ou, pour la DGEP : « Gagnez du temps avec nos nouvelles ressources pédagogiques et administratives. » Si l’on cliquait, une fausse fenêtre de connexion à son compte, inspirée de Microsoft 365, nécessitait de saisir ses données d’accès. Une saisie malheureuse qui menait alors la personne vers une page de prévention et de conseils rappelés ci-dessous.

Des cybercriminels toujours plus convaincants

« Qu’est-ce qui aurait dû nous alerter ? » réagissent certains destinataires perplexes. Effectivement, deux propositions séduisantes, un expéditeur et un message crédibles… sauf qu’il n’était pas personnalisé aux couleurs de l’Etat. Il faut savoir que cet exercice est à la hauteur de la montée en puissance des cybercriminels au niveau de la qualité et de la plausibilité de leurs messages électroniques.  

Les attaquants imitent des communications officielles ou légitimes afin d’inciter les destinataires à cliquer sur des liens, ouvrir des pièces jointes, transmettre des informations confidentielles ou personnelles, voire effectuer des opérations financières. Le recours croissant à l’intelligence artificielle et aux outils de traduction leur permet de produire des messages toujours plus convaincants. Une fois cette première barrière franchie, ils pénètrent dans les serveurs, collectent des mots de passe et autres informations sensibles. Ou ils installent des logiciels malveillants afin de chiffrer les données et exiger ensuite une rançon.

Sans pour autant délaisser la messagerie électronique, les attaquants multiplient leurs actions malveillantes en utilisant les mêmes techniques via d’autres canaux de communication comme les SMS, les QR code, WhatsApp, le téléphone, le courrier postal et même des visites à domicile,

Cette évolution souligne l’importance de telles campagnes menées conjointement par les différentes Directions de l’État de Vaud, et coordonnées par la Direction générale du numérique et des systèmes d’information (DGNSI).

«Le but de ces simulations n’est pas de piéger le personnel ni de distribuer de bons ou de mauvais points, mais bien d’aiguiser les réflexes de prudence.»

Sam VuilleumierSpécialiste en sécurité de l'information et protection des données

Les signaux d’alerte

Cheville ouvrière de ces exercices, Sam Vuilleumier n’a de cesse de le répéter : « Le but de ces simulations n’est pas de piéger le personnel ni de distribuer de bons ou de mauvais points, mais bien d’aiguiser les réflexes de prudence. »

« Chacune et chacun d’entre nous est un maillon important de la sécurité des données traitées par l’Etat », rappelle-t-il. Et d’inviter chaque collaboratrice et collaborateur (pas seulement les personnes qui ont cliqué !) à suivre la formation en ligne ci-dessous, et à guetter les signaux suivants :

  1. Contenu : méfiez-vous d’un message trop tentant, ou qui instille un sentiment d’urgence et/ou de peur.
  2. Expéditeur : il faut relire l’adresse avec grande attention. Elle peut furieusement ressembler, à une lettre près, à une vraie ! Mais il faut aussi savoir que la provenance d'un email peut être facilement falsifiée.
  3. Liens : ne faites pas confiance aux liens visibles dans un e-mail. Il y a une différence entre ce que vous voyez et la cible vers laquelle pointe ce lien en réalité. Survolez le lien avec le curseur (sans cliquer) pour voir le lien réel et vérifiez si le nom de domaine est légitime (p. ex. : vd.ch). La même vigilance doit prévaloir vis-à-vis des codes QR et des pièces jointes. Ne fonçons pas tête baissée, prenons le temps de réfléchir avant de cliquer.
  4. Ne saisissez aucune donnée : ne fournissez jamais d'informations personnelles (login, mot de passe, coordonnées de carte de crédit, etc.) par e-mail. Ni via un site tiers inconnu dont l'adresse vous a été communiquée par e-mail.

Entraîner les bons réflexes

Comme conseillé à l’ensemble du personnel durant cette campagne pour mieux comprendre cette menace, nous vous proposons de prendre quelques minutes pour entraîner les bons réflexes contre le phishing avec le lien suivant: Choisissez « continuer en tant qu’invité» 

https://www.elearningcyber.ch/fr/course/3

Cette formation est mise à disposition par la « Conférence des directrices et directeurs des départements cantonaux de justice et police » dont l’Etat de Vaud est partie prenante.