Campagne de phishing à destination des agents de la collectivité

Lunel| Action publiée depuis le08/11/2024| Actualisée le08/11/2024| Pierre Soujol
statut :réalisée
  • prévue
  • en cours
  • réalisée

Synthèse

L'hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer un utilisateur pour l'inciter à communiquer des données personnelles (comptes d'accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut aussi inciter l'utilisateur à ouvrir une pièce jointe contaminée par un virus, ou à télécharger un logiciel malveillant.

À la vue du nombre de courriers indésirables que notre filtre anti-spam bloque, mais aussi à la vue de la recrudescence des attaques par ransomware (cryptage des données et demande de rançon) qui sont initiées à plus de 80% au travers d'un e-mail frauduleux. Il nous a semblé nécessaire de tester nos utilisateurs, pour connaitre la maturité de nos équipes vis à vis des e-mails à risque.

Actions

De nombreuses actions ont été réalisées ces dernières années pour améliorer la sécurité de notre système d'information. Des efforts ont été réalisés d'un point de vue matériel et logiciel, mais nous constatons que la plupart des attaques recensés ces dernières années s'appuient sur une négligence utilisateur. En effet, il est bien souvent question d'un e-mail envoyé à un utilisateur pour le pousser à la faute, en lui demandant par exemple de remplir un formulaire où sera précisé son mot de passe, ou encore en l'incitant à partager des informations utiles pour mener une attaque, ou de manière moins subtile en l'incitant à télécharger un fichier infecté ou une pièce jointe présente dans l'e-mail.

Des actions qui peuvent paraitre anodine à première vue pour certains utilisateurs, mais qui peuvent avoir de lourdes conséquences. En effet, la plupart des attaques aujourd'hui se focalisent sur les ransomware, qui sont utilisés par les attaquants pour crypter l'ensemble des données de l'utilisateur mais aussi toutes celles auxquelles il a accès. Certains sont même capable de se déployer au delà des accès utilisateurs en s'appuyant sur des failles de sécurité non corrigées par les administrateurs ou nouvellement découvertes.
Parfois les attaques sont réalisées en plusieurs temps, où l'attaquant va d'abord faire en sorte d'obtenir un accès au système d'information sans se faire remarquer, le temps d'exporter un maximum de données et de préparer une attaque encore plus efficace, en se familiarisant avec le système d'information et en ciblant les éléments critiques, voir pour supprimer les éventuelles sauvegardes qui pourraient permettre aux administrateurs de restaurer les données cryptées à leur état d'origine.

Autant dire que le risque est de taille, et qu'il vaut mieux prévenir que guérir. Raison pour laquelle la sensibilisation des utilisateurs est d'une importance capitale.

Une campagne de phishing ou simulation d'hameçonnage consiste à transmettre des courriels d'hameçonnage réalistes aux agents/employés afin d'évaluer leurs comportements en ligne et de tester leurs niveaux de connaissance en ce qui a trait aux cybermenaces.

C'est cette démarche que nous avons initié pour tester nos utilisateurs et évaluer leur comportement.
Au travers d'une plateforme dédiée, nous avons construit plusieurs e-mails d'hameçonnage plus ou moins difficiles à détecter, mais contenant systématiquement une adresse e-mail inhabituels. Certains des noms de domaine utilisés pour les envois étaient tout de même proche d'un formalisme officiel, mais contenait systématiquement des caractères qui permettaient de distinguer que la source n'était pas officielle.

Nous avons réalisé deux campagnes de phishing, l'une après l'autre, avec des modèles différentes et deux semaines d'intervalle, de manière à pouvoir comparer les statistiques et s'appuyer sur des informations fiables.

En moyenne le taux de clic sur les pièces jointes ou sur un lien contenu dans un e-mail frauduleux était de 30%, ce qui nous a permis de cibler les agents à former en priorité, et ce qui nous a conforté dans la nécessité de mettre en œuvre des sessions de sensibilisation sur le sujet.

Résultats

Les deux campagnes de phishing nous ont permis d'obtenir des statistiques fiables, d'autant plus que les utilisateurs n'étaient pas prévenus de leurs réalisation.
Nous disposons maintenant de chiffres qui font office de référence, avec l'objectif d'améliorer la situation. C'est la raison pour laquelle nous  avons initié des sessions de sensibilisation à la cybersécurité, notamment au travers d'outils interactifs qui nous l'espérons seront aussi efficace qu'attendu.
Nous lancerons certainement d'autres campagnes de phishing à termes, pour comparer les statistiques et constater les éventuels changements.

Liens

https://www.terranovasecurity.com/fr

Bénéfices

Informations réservées aux membres.
> En savoir plus
> Se connecter

Outils

Informations réservées aux membres.
> En savoir plus
> Se connecter

Prestataires & Partenaires

Informations réservées aux membres.
> En savoir plus
> Se connecter

Services13

    • Des actions de sensibilisation aux questions de sécurité sur internet (identité numérique du citoyen, désinformation, cyber-sécurité…)
    • Un compte et un suivi personnalisés sur le site de la collectivité (identifiant, mot de passe, France Connect…)
    • Des outils pour la prévention des cyberattaques (gestionnaires de mots de passe, pare-feu et antivirus, gestion du réseau...)
    • Des services cibles, parcours personnalisés ou sites dédiés par profil d'usagers
    • L'accompagnement des agents aux usages du numérique et le développement de nouveaux métiers
    • L'existence d'un schéma directeur des systèmes d'informations de la collectivité ou du territoire, incluant la collectivité
    • Des mesures préventives pour assurer la continuité du service public (exercices et plans de gestion de crise, de continuité d'activité...)
    • La réduction de l'empreinte carbone par la dématérialisation (réduction papier, déplacements...), des usages sobres du numérique (données frugales, systèmes optimisés...)
    • Des dispositifs d'initiation et de formation aux outils numériques, à la data ou à l'IA (ateliers thématiques, infolabs...)
    • L'accès facilité à la formation professionnelle, la télé-présence, la formation en ligne
    • La formation des agents s'appuyant sur des ressources et des supports innovants
    • Intelligence artificielle : des usages appliqués au service public (applications, expérimentations et réflexions prospectives sur les chances et risques des IA analytiques ou génératives)
    • La formation au numérique des acteurs économiques et des agents territoriaux (nombre de journées)

    Enjeux

      documents attachés

        actions connexes