{"id":1568,"date":"2023-02-08T08:00:00","date_gmt":"2023-02-08T07:00:00","guid":{"rendered":"https:\/\/wp.unil.ch\/newsci\/?p=1568"},"modified":"2023-03-01T18:05:36","modified_gmt":"2023-03-01T17:05:36","slug":"des-campagnes-de-sensibilisation-au-phishing-a-lunil","status":"publish","type":"post","link":"https:\/\/wp.unil.ch\/newsci\/des-campagnes-de-sensibilisation-au-phishing-a-lunil\/","title":{"rendered":"Des campagnes de sensibilisation au phishing \u00e0 l\u2019UNIL"},"content":{"rendered":"\n

Le phishing, une des fraudes les plus r\u00e9pandues<\/strong><\/h2>\n\n\n\n
\n
\n

Le phishing m\u00e9rite-t-il encore une introduction ? Parmi toutes les menaces qui existent sur internet, le phishing est probablement une des techniques les plus utilis\u00e9es. Il consiste \u00e0 induire en erreur la cible de l\u2019attaque \u00e0 l\u2019aide d\u2019un mail ou d\u2019un site contrefait, et l\u2019inciter \u00e0 fournir des informations confidentielles (identifiants, mots de passe, num\u00e9ro de cartes de cr\u00e9dit, etc.) : on re\u00e7oit un email qui semble l\u00e9gitime, mais qui en r\u00e9alit\u00e9 nous renvoie sur un site ou un contact frauduleux. Tant l\u2019email original que le site sont g\u00e9n\u00e9ralement con\u00e7us de mani\u00e8re \u00e0 nous tromper en imitant la charte graphique et\/ou le style de l\u2019exp\u00e9diteur pr\u00e9sum\u00e9. Il y a souvent des signes pour d\u00e9tecter ces emails frauduleux, mais lorsque l\u2019on en re\u00e7oit de nombreuses notifications par jours, ce n\u2019est pas toujours \u00e9vident de rester vigilant. D\u2019autant que ces emails sont souvent accompagn\u00e9s d\u2019une strat\u00e9gie qui vise \u00e0 nous faire agir sans r\u00e9fl\u00e9chir !<\/p>\n<\/div>\n\n\n\n

\n
\n

Le terme phishing employ\u00e9 par notre article est le plus courant, mais vous trouverez aussi le terme francophone hame\u00e7onnage pour d\u00e9crire cette pratique d\u2019ing\u00e9nierie sociale.<\/p>\n<\/div><\/div>\n<\/div>\n<\/div>\n\n\n\n

\"\"
Un exemple typique d\u2019un email de phishing. Certains \u00e9l\u00e9ments permettent de reconnaitre qu’il s’agit d’un phishing, mais il suffit d\u2019un moment d\u2019inattention pour tomber dans le panneau.<\/em><\/figcaption><\/figure>\n\n\n\n

N\u00e9anmoins, malgr\u00e9 sa relative standardisation, il ne faut pas sous-estimer l\u2019impact potentiel d\u2019un phishing. En effet, ce type de cyberattaques peut avoir de graves cons\u00e9quences non seulement pour la cible, mais aussi pour les entit\u00e9s reli\u00e9es \u00e0 la personne tromp\u00e9e. Un acc\u00e8s UNIL vol\u00e9 peut par exemple servir de point d\u2019entr\u00e9e \u00e0 des services critiques et permettrait la mise en place de cyberattaques de plus grandes envergures : vol de donn\u00e9es personnelles, financi\u00e8res, etc. pour tous les collaboratrices et collaborateurs de l\u2019UNIL.<\/p>\n\n\n\n

Malheureusement, les institutions suisses dans l\u2019\u00e9ducation et la sant\u00e9 ne sont pas \u00e9pargn\u00e9es et le Centre informatique met r\u00e9guli\u00e8rement en place des strat\u00e9gies et filtres pour bloquer les sites internet suspicieux, n\u00e9anmoins ces filtres ne sont efficaces que sur les r\u00e9seaux de l\u2019UNIL et, avec la d\u00e9mocratisation du t\u00e9l\u00e9travail, de telles mesures ne peuvent pas pr\u00e9venir tous les risques engendr\u00e9s par le phishing. A l\u2019UNIL entre 40 et 50 comptes sont compromis par ann\u00e9e, la vigilance de chaque membre du personnel reste donc essentielle afin de limiter l\u2019impact de telles attaques et c\u2019est l\u00e0 qu\u2019interviennent les campagnes de phishing interne.<\/p>\n\n\n\n

\"\"
Une campagne de phishing qui a r\u00e9cemment affect\u00e9 l\u2019UNIL<\/em>.<\/figcaption><\/figure>\n\n\n\n

Des campagnes de phishing interne pour former<\/strong><\/h2>\n\n\n\n

Le premier rempart contre le phishing, c\u2019est vous ! Les cybercriminels savent que pour obtenir ce qu\u2019ils veulent il est plus simple de vous cibler directement plut\u00f4t que de tenter des attaques massives sur les ordinateurs de l\u2019UNIL. Le Centre informatique souhaite donc vous aider \u00e0 reconna\u00eetre plus facilement ces menaces.<\/p>\n\n\n\n

\n
\n

Dans le cadre des nouvelles dispositions concernant la s\u00e9curit\u00e9 informatique, le Centre informatique va donc r\u00e9guli\u00e8rement mettre en place sur une dur\u00e9e d’un an des campagnes de phishing interne visant \u00e0 sensibiliser le personnel de l\u2019UNIL (administratif et acad\u00e9mique) contre ces attaques. Durant chaque campagne, des personnes s\u00e9lectionn\u00e9es al\u00e9atoirement recevront un email de phishing qui aura \u00e9t\u00e9 con\u00e7u par une entreprise suisse sp\u00e9cialis\u00e9e dans le domaine \u00e0 la demande de l\u2019UNIL. Le comportement des cibles (r\u00e9ponse, suppression, liens cliqu\u00e9s, signalement, etc.) seront ensuite anonymement r\u00e9colt\u00e9s et permettront ainsi au Ci de se forger une bonne id\u00e9e de l\u2019\u00e9tat de pr\u00e9paration de la communaut\u00e9, de l\u2019\u00e9volution de la r\u00e9sistance \u00e0 ce type d\u2019attaque et, le cas \u00e9ch\u00e9ant, de mettre en place des mesures plus fortes afin de renforcer la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information de l\u2019UNIL. Ces campagnes permettront aussi d\u2019encourager la prise de conscience et la formation.<\/p>\n\n\n\n

Concr\u00e8tement, ces exercices se d\u00e9rouleront de la fa\u00e7on suivante :<\/p>\n\n\n\n

    \n
  1. Des emails de phishing seront envoy\u00e9s al\u00e9atoirement aux collaboratrices et collaborateurs UNIL.<\/li>\n\n\n\n
  2. Le comportement des personnes cibl\u00e9es sera analys\u00e9.<\/li>\n\n\n\n
  3. Si une personne se fait prendre en d\u00e9faut par la fausse campagne, une invitation \u00e0 suivre une petite formation sera adress\u00e9e.<\/li>\n\n\n\n
  4. Que les cibles aient r\u00e9pondu positivement ou n\u00e9gativement \u00e0 l\u2019email de Phishing, aucune autre action ne sera entreprise par le Ci ou l\u2019UNIL.<\/li>\n<\/ol>\n<\/div>\n\n\n\n
    \n
    \n

    Pr\u00e9venir plut\u00f4t que gu\u00e9rir<\/strong><\/h4>\n\n\n\n

    Ces campagnes de phishing ont pour but de vous aider \u00e0 d\u00e9tecter plus facilement les sites et emails frauduleux afin d\u2019augmenter la r\u00e9silience de l\u2019UNIL face aux nombreuses menaces. En ce sens, cet exercice ne constitue en aucun cas une \u00e9valuation personnelle ou professionnelle. L\u2019UNIL ne pr\u00e9voit donc aucune cons\u00e9quence en cas de r\u00e9ponse positive \u00e0 un email de phishing. Il n\u2019y aura pas non plus de cons\u00e9quence si vous d\u00e9cidez ne pas suivre les formations propos\u00e9es. <\/p>\n<\/div><\/div>\n<\/div>\n<\/div>\n\n\n\n

    Des campagnes qui permettront de d\u00e9velopper la recherche sur la Cybercriminalit\u00e9 \u00e0 l\u2019UNIL<\/strong><\/h2>\n\n\n\n

    L\u2019\u00c9cole des Sciences Criminelles s\u2019int\u00e9resse en ce moment au phishing et a d\u00e9marr\u00e9 une recherche sur le sujet, avec un accent sur l\u2019impact de la formation sur la r\u00e9silience d\u2019une communaut\u00e9 face \u00e0 des attaques de ce type. Les donn\u00e9es utilis\u00e9es pour la recherche et fournies \u00e0 l’ESC seront anonymis\u00e9es et effac\u00e9es apr\u00e8s la publication de donn\u00e9es consolid\u00e9es.<\/p>\n\n\n\n

    Tous unis contre le piratage informatique<\/strong><\/h2>\n\n\n\n

    Malheureusement, le rythme et la gravit\u00e9 des tentatives d\u2019attaque contre les institutions suisses n\u2019a fait que d\u2019augmenter ces derni\u00e8res ann\u00e9es et il est d\u00e9sormais clair que les barri\u00e8res et protections techniques ne peuvent pas toujours prot\u00e9ger contre les attaques d\u2019ing\u00e9nierie sociale.<\/p>\n\n\n\n

    On ne le rappellera jamais assez, la meilleure d\u00e9fense contre ces cyberattaques, c\u2019est vous, et nous souhaitons vous accompagner dans votre parcours pour vous rendre plus conscientes et conscients des menaces et vous fournir les connaissances n\u00e9cessaires pour vous prot\u00e9ger et prot\u00e9ger vos donn\u00e9es. En simulant des attaques, le Centre informatique peut donc \u00e9valuer la vuln\u00e9rabilit\u00e9 de l\u2019UNIL et mettre en place des strat\u00e9gies pour vous prot\u00e9ger. Gr\u00e2ce \u00e0 vos contributions, nous pouvons construire un environnement plus s\u00e9curis\u00e9 pour tous.<\/p>\n\n\n\n

    \n

    Une question sur la campagne de phishing? Contactez-nous sur campagne_phishing@unil.ch<\/a><\/p>\n\n\n\n

    Un phishing \u00e0 nous signaler? Transmettez-le nous en tant que pi\u00e8ce jointe<\/a> \u00e0 l’adresse helpdesk@unil.ch<\/a><\/p>\n<\/div><\/div>\n\n\n\n

    Pour vous pr\u00e9parer<\/h3>\n\n\n\n