Des campagnes de sensibilisation au phishing à l’UNIL

Pour aider les collaboratrices et collaborateurs de l’UNIL à détecter ces fraudes, le Centre informatique va introduire des campagnes de phishing interne.

Le phishing, une des fraudes les plus répandues

Le phishing mérite-t-il encore une introduction ? Parmi toutes les menaces qui existent sur internet, le phishing est probablement une des techniques les plus utilisées. Il consiste à induire en erreur la cible de l’attaque à l’aide d’un mail ou d’un site contrefait, et l’inciter à fournir des informations confidentielles (identifiants, mots de passe, numéro de cartes de crédit, etc.) : on reçoit un email qui semble légitime, mais qui en réalité nous renvoie sur un site ou un contact frauduleux. Tant l’email original que le site sont généralement conçus de manière à nous tromper en imitant la charte graphique et/ou le style de l’expéditeur présumé. Il y a souvent des signes pour détecter ces emails frauduleux, mais lorsque l’on en reçoit de nombreuses notifications par jours, ce n’est pas toujours évident de rester vigilant. D’autant que ces emails sont souvent accompagnés d’une stratégie qui vise à nous faire agir sans réfléchir !

Le terme phishing employé par notre article est le plus courant, mais vous trouverez aussi le terme francophone hameçonnage pour décrire cette pratique d’ingénierie sociale.

Un exemple typique d’un email de phishing. Certains éléments permettent de reconnaitre qu’il s’agit d’un phishing, mais il suffit d’un moment d’inattention pour tomber dans le panneau.

Néanmoins, malgré sa relative standardisation, il ne faut pas sous-estimer l’impact potentiel d’un phishing. En effet, ce type de cyberattaques peut avoir de graves conséquences non seulement pour la cible, mais aussi pour les entités reliées à la personne trompée. Un accès UNIL volé peut par exemple servir de point d’entrée à des services critiques et permettrait la mise en place de cyberattaques de plus grandes envergures : vol de données personnelles, financières, etc. pour tous les collaboratrices et collaborateurs de l’UNIL.

Malheureusement, les institutions suisses dans l’éducation et la santé ne sont pas épargnées et le Centre informatique met régulièrement en place des stratégies et filtres pour bloquer les sites internet suspicieux, néanmoins ces filtres ne sont efficaces que sur les réseaux de l’UNIL et, avec la démocratisation du télétravail, de telles mesures ne peuvent pas prévenir tous les risques engendrés par le phishing. A l’UNIL entre 40 et 50 comptes sont compromis par année, la vigilance de chaque membre du personnel reste donc essentielle afin de limiter l’impact de telles attaques et c’est là qu’interviennent les campagnes de phishing interne.

Une campagne de phishing qui a récemment affecté l’UNIL.

Des campagnes de phishing interne pour former

Le premier rempart contre le phishing, c’est vous ! Les cybercriminels savent que pour obtenir ce qu’ils veulent il est plus simple de vous cibler directement plutôt que de tenter des attaques massives sur les ordinateurs de l’UNIL. Le Centre informatique souhaite donc vous aider à reconnaître plus facilement ces menaces.

Dans le cadre des nouvelles dispositions concernant la sécurité informatique, le Centre informatique va donc régulièrement mettre en place sur une durée d’un an des campagnes de phishing interne visant à sensibiliser le personnel de l’UNIL (administratif et académique) contre ces attaques. Durant chaque campagne, des personnes sélectionnées aléatoirement recevront un email de phishing qui aura été conçu par une entreprise suisse spécialisée dans le domaine à la demande de l’UNIL. Le comportement des cibles (réponse, suppression, liens cliqués, signalement, etc.) seront ensuite anonymement récoltés et permettront ainsi au Ci de se forger une bonne idée de l’état de préparation de la communauté, de l’évolution de la résistance à ce type d’attaque et, le cas échéant, de mettre en place des mesures plus fortes afin de renforcer la sécurité du système d’information de l’UNIL. Ces campagnes permettront aussi d’encourager la prise de conscience et la formation.

Concrètement, ces exercices se dérouleront de la façon suivante :

  1. Des emails de phishing seront envoyés aléatoirement aux collaboratrices et collaborateurs UNIL.
  2. Le comportement des personnes ciblées sera analysé.
  3. Si une personne se fait prendre en défaut par la fausse campagne, une invitation à suivre une petite formation sera adressée.
  4. Que les cibles aient répondu positivement ou négativement à l’email de Phishing, aucune autre action ne sera entreprise par le Ci ou l’UNIL.

Prévenir plutôt que guérir

Ces campagnes de phishing ont pour but de vous aider à détecter plus facilement les sites et emails frauduleux afin d’augmenter la résilience de l’UNIL face aux nombreuses menaces. En ce sens, cet exercice ne constitue en aucun cas une évaluation personnelle ou professionnelle. L’UNIL ne prévoit donc aucune conséquence en cas de réponse positive à un email de phishing. Il n’y aura pas non plus de conséquence si vous décidez ne pas suivre les formations proposées.

Des campagnes qui permettront de développer la recherche sur la Cybercriminalité à l’UNIL

L’École des Sciences Criminelles s’intéresse en ce moment au phishing et a démarré une recherche sur le sujet, avec un accent sur l’impact de la formation sur la résilience d’une communauté face à des attaques de ce type. Les données utilisées pour la recherche et fournies à l’ESC seront anonymisées et effacées après la publication de données consolidées.

Tous unis contre le piratage informatique

Malheureusement, le rythme et la gravité des tentatives d’attaque contre les institutions suisses n’a fait que d’augmenter ces dernières années et il est désormais clair que les barrières et protections techniques ne peuvent pas toujours protéger contre les attaques d’ingénierie sociale.

On ne le rappellera jamais assez, la meilleure défense contre ces cyberattaques, c’est vous, et nous souhaitons vous accompagner dans votre parcours pour vous rendre plus conscientes et conscients des menaces et vous fournir les connaissances nécessaires pour vous protéger et protéger vos données. En simulant des attaques, le Centre informatique peut donc évaluer la vulnérabilité de l’UNIL et mettre en place des stratégies pour vous protéger. Grâce à vos contributions, nous pouvons construire un environnement plus sécurisé pour tous.

Une question sur la campagne de phishing? Contactez-nous sur campagne_phishing@unil.ch

Un phishing à nous signaler? Transmettez-le nous en tant que pièce jointe à l’adresse helpdesk@unil.ch

Pour vous préparer

Image d’en-tête : Robson Hatsukami Morgan sur unsplash.com
Article modifié le 01.03.23 : ajout de l’adresse campagne_phishing@unil.ch