Une campagne de phishing fictive pour sensibiliser 25 PME romandes à la cybersécurité
La première édition de «Trust4SMEs» s’est conclue en présence des 25 PME lémaniques qui y ont participé à ce programme d’accompagnement en cybersécurité. Focalisée sur la sensibilisation des utilisateurs, la matinée a aussi révélé les résultats d’une campagne de phishing inoffensive envoyée à quelque 2'500 employés des PME.
Hier jeudi 9 février s’est conclue à la première édition du programme «Trust4SMEs». Lancé en février 2022 dans le cadre de la Trust Valley, le programme a accompagné 25 PME de la région lémanique dans le renforcement de leur cybersécurité. Pendant un an, les entreprises participantes ont bénéficié de conférences et d’accompagnement dispensés par des prestataires spécialisés partenaires de l’initiative soutenue par le canton de Vaud, allant de la gouvernance, aux technologies de protection, en passant par le facteur humain et la continuité de l’activité.
«J’en sors rassuré», confie Alessandro Marangoni, CEO de Fréquence TV, une des entreprises participantes. La PME nyonnaise d’une trentaine de collaborateurs est active dans l’intégration de systèmes audio-vidéo et domotiques tant chez les particuliers que dans les entreprises. «En rejoignant le programme, je souhaitais avant tout savoir où nous en sommes et identifier nos éventuelles lacunes», ajoute le patron qui se charge lui-même de l’IT. Il explique que FréquenceTV compte parmi ses clients des personnalités, des multinationales ou encore des hôpitaux aux données extrêmement sensibles. Sans compter que son entreprises a parfois accès aux installations à distance et qu’elle doit aussi se protéger d’attaques susceptibles de se propager via ses partenaires. «La cybersécurité est pour nous un risque existentiel», conclut-il.
Sensibilisation des utilisateurs
Lors de cette dernière journée, le programme «Trust4SME» s’est focalisé sur la sensibilisation des utilisateurs devant un public nombreux qui a posé de multiples questions. Après les mots d’introduction de Marc Barbezat (Etat de Vaud), Olivier Crochat (C4DT, EPFL) et Lennig Pedron (Trust Valley), Alain Mowat, spécialiste cybersécurité chez SCRT, a expliqué les types de cyberattaques les plus courants cherchant à abuser les utilisateurs et des moyens et astuces pour s’en protéger.
Durant sa présentation riche en démos, le spécialiste a abordé aussi bien les tentatives de connexion via des mots de passe très/trop populaires, que l’installation de malware via des macros, ou encore le hameçonnage et le clonage de sites. «L’utilisateur a énormément d’impact sur le succès ou l’échec d’une attaque», a-t-il souligné. Et de conclure sur quelques règles de base: employer un gestionnaire de mots de passe, utiliser l’authentification forte, être attentif à l’ingénierie sociale, appliquer les mises à jour, notifier immédiatement le responsable IT en cas d’attaque, solliciter de l’aide.
Campagne inoffensive de phishing
Pour sensibiliser les utilisateurs aux dangers qu’ils courent, le programme «Test4SME» a également recouru à une campagne de phishing sans danger. En charge du projet, Mahandry Rambinintsoa (Sequal) a échafaudé trois e-mails qui ont été envoyés aux employés des PME participantes.
Se faisant passer pour un message des RH concernant la «nouvelle politique de vacances» de la société, un premier e-mail avec un fichier PDF joint a été envoyé à plus de 2’500 collaborateurs. Près de 1900 l’ont ouvert et 36% d’entre eux ont cliqué sur le document. Avertis, les utilisateurs ont été bien meilleurs avec un deuxième e-mail contenant cette fois une invitation à une visioconférence (8% de clicks parmi les messages ouverts) - beaucoup ont sans doute remarqué que le message mentionnait une conférence «Zoum» au lieu de «Zoom». Le troisième e-mail feignait un message d’Outlook avertissant le destinataire que sa boîte aux lettres était pleine et l’invitant à se connecter à son compte. Sur le millier de message ouverts, 70 utilisateurs ont donné leur mot de passe.
Mahandry Rambinintsoa a profité de chacun de ces message pour pointer des indices de nature à éveiller le soupçon. Comme des fautes d’orthographes, un message inhabituel, une signature différente de ce qui se pratique dans l’entreprise, etc. Le spécialiste a rappelé qu’un seul click suffit à mettre l’entreprise en danger, mais il a aussi relevé que la campagne montre que la sensibilisation est utile.
Le prochain programme «Trust4SMEs» démarrera en avril et les inscriptions sont ouvertes pour une trentaine de PME.
