Discussion :

[Coriolan]

Mois de la cybersécurité : Bercy simule une opération de phishing
Et plus de 30 000 de ses agents tombent dans le piège en l'espace de deux heures seulement

En 2015, une étude avait montré que le meilleur moyen de réduire le risque pour l’entreprise est de sensibiliser et former les employés aux pratiques de sécurité. En effet, les chercheurs se sont rendu compte que le déploiement de technologies sophistiquées pour lutter contre les risques de sécurité n’est pas suffisant, puisque le maillon le plus faible reste l’employé assis devant l’écran. S’il n’est pas inclus dans le programme de sécurité, alors les nombreux contrôles et mesures de protection ne permettent pas de réduire considérablement le risque qu’encourt l’organisation.

Ce lundi, ça a été le tour de Bercy de se rendre compte de ce constat. Les services de sécurité des systèmes informatiques du ministère des Finances ont mené une vaste opération de sensibilisation à la cybersécurité. Environ 145 000 agents de Bercy et d’agences indépendantes ont reçu des emails envoyés par un certain Jean-Baptiste Poquelin (Molière), Thérèse Desqueyroux ou encore Emma Bovary. Comme vous l’aurez deviné, ce sont tous des personnages totalement déconnectés de la réalité qui n’existent plus ou bien sont issus d’univers fictifs. Mais vraisemblablement, ça n’a pas été le cas pour les employés qui ont mordu l'appât de cette vraie fausse opération d’hameçonnage. Certains se sont même laissé séduire par une invitation à gagner des places de cinéma !

« Plus de 30 000 personnes ont cliqué sur les liens entre 10 heures et midi lundi matin. C'est beaucoup », constate Yuksel Aydin, adjoint au responsable sécurité des services informatiques de Bercy. Les agents qui sont tombés dans le piège ont été redirigés vers une page web pour découvrir les recommandations d’usage sur les emails et les précautions à prendre comme le fait de ne pas cliquer sur les liens contenus dans des emails de sources douteuses. « C'est aussi un moyen de tester nos procédures d'urgence », ajoute Yuksel Aydin, soucieux de démontrer que « la cybersécurité, ce n'est pas que des lignes de code, cela passe aussi par la sensibilisation des usagers. »

Après cette opération, Bercy compte mener d’autres opérations toujours dans le cadre du mois de la cybersécurité. Le ministère en question a collaboré avec plusieurs acteurs comme l’institut national de la consommation et la Banque de France afin de sensibiliser le grand public et les créateurs d’entreprises sur les bonnes pratiques de cybersécurité, notamment la mise en place de services numériques ou encore celle d’un service de paiement digital.

Lancement du Mois de la cybersécurité

Durant ce mois, plusieurs événements en France vont avoir lieu dans le cadre du mois européen de la cybersécurité pilotée par l’Enisa. Cette initiative vise à sensibiliser le grand public et mettre en avant le thème de cybersécurité dans les différents pays de l’union pendant le mois d’octobre. « Mettre un coup de projecteur sur les conseils des experts de la sécurité du numérique et les bonnes pratiques informatiques à adopter, que l’on soit un particulier, un employé ou un chef d’entreprise. Cette prise de conscience des utilisateurs quant à leur rôle à jouer va contribuer à augmenter significativement le niveau de cybersécurité en France », peut-on lire sur le portail du ministère des Armées.

Guillaume Poupart, Directeur Général de l’ANSSI a donné des précisons sur le programme de ce mois de la Cybersécurité. L’ANSSI va faire le relais national de cette initiative. Au total, 55 événements vont avoir lieu avec l’implication de neuf ministères et de nombreux relais associatifs.

Durant la première semaine, le thème de sécurité dans le monde professionnel va être abordé ainsi que la mise en ligne du nouveau site du CERT Fr. Durant la deuxième semaine, l’accent va être mis sur le RGPD. La troisième semaine sera placée sous le signe de la cybersécurité à la maison. Et enfin la quatrième semaine sera dédiée aux problématiques de la formation. En ce qui concerne la directive NIS, directive européenne sur la cybersécurité, le texte sera transmis au Conseil d’État le 15 octobre en vue d’une publication en mai 2018.

Source : Le Figaro - ANSSI

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité

[Fleur en plastique]

Les employés de Bercy, ce sont des gens juste payés pour emmerder les gens et exiger le règlement de sommes astronomiques pour payer les jets privés des présidents et taper des chiffres dans Excel, alors la moindre des choses c'est qu'ils ne mettent pas en danger le système informatique de l'État.

Pour moi, un employé des impôts suffisamment bête et stupide pour se laisser avoir par un phishing est un employé qui doit être licencié immédiatement pour faute lourde.

[madfu]

Pour moi, un employé des impôts suffisamment bête et stupide pour se laisser avoir par un phishing est un employé qui doit être licencié immédiatement pour faute lourde.

Ou le former / sensibiliser etc sinon (certains mails de phishing sont d'ailleurs très bien faits)

[tchize_]

Hoo un troll en plastique, ça faisait longtemps


Blagues à part, si c'est même genre de "test de phishing" auquel j'ai déjà eu droit, voilà comment ça se passe

1) tout le monde dans l'open space reçois le mail plus ou moins en même temps
====> hooo, comme c'est suuuurprenant
2) tout le monde rigole en disant "c'est quoi ste connerie, sérieux, un mail envoyé par un gars qui se fait appeler Elvis P. du service informatique?"
3) quelqu'un tappe un curl sur l'url pour voir c'est quoi ste tentative naive
====> Hoooo, on reçoit une redirection vers le site de l'entreprise, sur une url non documentée, reprenant les conseils de sécurité mode "je te prend pour un con"
5) tout le monde dans l'open space clique sur le lien pour aller rigoler sur la page puis clique sur reload en constatant que chaque reload fait monter le compteur "vous êtes X a vous être fait avoir soyez plus prudent"

[captaindidou]

Et moi qui m'étonne que les entreprises sont victimes de rançonwares.

Sérieusement, par quels modus operandi les randonneurs arrivent-ils à leur fin ? Est-ce par le biais d'une pièce jointe exécutable ? Ça me semble tellement improbable que j'en doute.

Les spécialistes en secu, eclairez-moi, svp.

[Nb]

3) quelqu'un tappe un curl sur l'url pour voir c'est quoi ste tentative naive

S'il y a quelqu'un dans l'open space capable de faire un cURL, vous ne faites pas partie la cible du test. J'imagine qu'il s'agit surtout de sensibiliser/eduquer les utilisateurs lambda de l'outil informatique.
Ce que ce test montre de nouveau c'est surtout que 30K pélos sur 145K ne connaissent ni, Moliere ni Mauriac et ca c'est flippant.

Sérieusement, par quels modus operandi les randonneurs arrivent-ils à leur fin ?

Oh ben je dirais qu'avec un bon check meteo, une bonne carte IGN et en se fiant au balisage et aux cairns en general on y arrive bien

[Dominik94]

il semble manquer, quand même, l'étape indispensable de tout phishing qui se respecte : la récupération des identifiants et password, car nulle part dans l'article il en est question.

[marsupial]

Phishing = attrape nigaud, je vous laisse conclure.

[Skury]

il semble manquer, quand même, l'étape indispensable de tout phishing qui se respecte : la récupération des identifiants et password, car nulle part dans l'article il en est question.

Pas besoin d'identifiants/mots de passe, il s'agissait juste d'une (fausse) campagne pour les amener à suivre un lien qui aurait pu leur faire télécharger du contenu malveillant.

[Chuck_Norris]

Pas besoin d'identifiants/mots de passe, il s'agissait juste d'une (fausse) campagne pour les amener à suivre un lien qui aurait pu leur faire télécharger du contenu malveillant.

Oui, certes, mais si l'utilisateur est suffisamment stupide pour saisir ses identifiants sur une fausse page, alors là on arrive dans le domaine du QI niveau azote liquide, ce qui aurait permis de pouvoir afficher partout dans l'entreprise le Wall of Shame de tout ceux qui ont été pris en flagrant délit de bêtise.

[madfu]

Oui, certes, mais si l'utilisateur est suffisamment stupide pour saisir ses identifiants sur une fausse page, alors là on arrive dans le domaine du QI niveau azote liquide, ce qui aurait permis de pouvoir afficher partout dans l'entreprise le Wall of Shame de tout ceux qui ont été pris en flagrant délit de bêtise.

C'est toujours pareil, toi moi et probablement 99,99% des membres de ce site sont informés mais ce n'est pas le cas d'une grande partie de la population qui pour certains ne maîtrisent pas les mécanismes en jeu alors que pourtant ils excellent certainement dans leur taf, ça ne fait pas d'eux (forcément) des gens bêtes et ça ne fait pas de nous des gens intelligents non plus, juste un peu plus informé que les autres.

Si dans ma boite j'ai une secrétaire qui fait un super taf mais qui clique à tort et à travers sur mes mails de phisphing je ne ne pense que j'en déduirais beaucoup de choses sur son QI mais j'en conclurait qu'il y'a un gros problème de culture oui.

[Loceka]

Hoo un troll en plastique, ça faisait longtemps

Je me suis dit la même chose

Blagues à part, si c'est même genre de "test de phishing" auquel j'ai déjà eu droit, voilà comment ça se passe

1) tout le monde dans l'open space reçois le mail plus ou moins en même temps
====> hooo, comme c'est suuuurprenant
2) tout le monde rigole en disant "c'est quoi ste connerie, sérieux, un mail envoyé par un gars qui se fait appeler Elvis P. du service informatique?"
3) quelqu'un tappe un curl sur l'url pour voir c'est quoi ste tentative naive
====> Hoooo, on reçoit une redirection vers le site de l'entreprise, sur une url non documentée, reprenant les conseils de sécurité mode "je te prend pour un con"
5) tout le monde dans l'open space clique sur le lien pour aller rigoler sur la page puis clique sur reload en constatant que chaque reload fait monter le compteur "vous êtes X a vous être fait avoir soyez plus prudent"

Alors autant dans un service info je veux bien, autant pour des gens qui ne sont pas informaticien je doute fort que ce soit pour cette raison qu'ils ont cliqué.

[Chuck_Norris]

C'est toujours pareil, toi moi et probablement 99,99% des membres de ce site sont informés mais ce n'est pas le cas d'une grande partie de la population qui pour certains ne maîtrisent pas les mécanismes en jeu alors que pourtant ils excellent certainement dans leur taf, ça ne fait pas d'eux (forcément) des gens bêtes et ça ne fait pas de nous des gens intelligents non plus, juste un peu plus informé que les autres.

Si dans ma boite j'ai une secrétaire qui fait un super taf mais qui clique à tort et à travers sur mes mails de phisphing je ne ne pense que j'en déduirais beaucoup de choses sur son QI mais j'en conclurait qu'il y'a un gros problème de culture oui.

Alors, déjà je fais une différence entre un clic, et remplir un formulaire sur le site douteux. Le clic, d'accord, ça peut être dangereux pour cause d'installation de malware (mais après utiliser des systèmes d'exploitations et des navigateurs sécurisés plutôt que des passoires qui envoient chaque touche enfoncée aux serveurs Microsoft ça peut aider), mais néanmoins il en faut dans le sac pour remplir un formulaire ; il y a des gens qui ne tomberont pas dans le deuxième panneau mais d'autres si, et ceux-là sont les plus dangereux.

Avec l'exemple de ta secrétaire qui fait un super taf mais qui fait couler ta boîte en donnant les crédentials d'admin sur une page de phishing, tu vas continuer à la défendre sur son "manque de culture" ?

Après ce qui est certain, c'est que les personnes ayant accès à l'outil informatique dans le cadre du travail doivent être formés devant ces menaces. En cas de phishing réussi, s'ils n'ont pas été formés, c'est la direction qui est coupable. S'ils le sont, alors ce sont les employés qui n'ont pas allumé leur cerveau (alors qu'en théorie au travail on est censé le laisser allumé sous peine de se faire allumer), ou qui jouaient à faire des avions en papier tout en sniffant un bâton de colle en formation, qui doivent assumer leur faute et remettre leur démission.

[marsupial]

Maintenant que Chuck Norris a mis tout le monde d'accord, peut-on aborder le sujet principal, le mois de la cybersécurité comme ils disent dans les salons ?
Parce-que les virages technologiques, impossible de lutter contre, mais oublier comme au temps des premiers ordis personnels, la sureté des données et informations... je veux dire, il s'agit d'une action criminalisable.

[blackangel]

Pour moi ça veut surtout dire qu'il y avait 30 000 personnes sur 150 000 qui n'avaient rien d'autre à faire que de cliquer sur un lien de pub/concours ...
Conclusion: on pourrait facilement diminuer la masse salariale de Bercy de 30 000 postes.
C'est pas eux qui veulent faire des économies ? non ?
....
bon ok, je sors ...

[petitours]

Phishing = attrape nigaud, je vous laisse conclure.

Merci pour le fou rire ! (élément de contexte : j'ai passé 2h aux impôts ce matin...)

[Paul_Le_Heros]

Mon épouse utilise windows, et vient de se faire avoir par un ransonware. La raison pour laquelle elle a cliqué sur le lien fatal est que l’origine du courriel qui le contenait était à mon adresse. Alors Jean-Baptiste Poquelin, Thérèse Desqueyroux ou Emma Bovary, c’est bien, mais le nom du voisin de bureau (dans le cas d’une administration), c’est encore mieux !

Pour le petite histoire : quand j’ai vu les choses se faire, au début des conversions des fichiers et de leur nom (processus assez lent tout de même), je lui ai dit d’arrêter sa machine et de ma la confier. Elle ne m’a pas vraiment cru, n’ayant elle-même jamais entendu parlé de cette "farce et attrape", et quand elle a confié sa machine a des spécialistes windows (!), il était bien évidemment trop tard. Pourtant, je lui ai dit souvent que cette machine n’était pas la sienne, mais celle de Microsoft, et expliqué ce que faisaient cette entreprise et autres Google. Il y a un excellent niveau de confiance entre nous et je suis responsable, car je lui ai toujours dit que je ne connaissais rien à Windows et que ce système ne m’intéressait en rien, et chaque fois que je dois intervenir sur sa machine, je le fais en ronchonnant.

[Gwenbriss]

Qu'ils sachent ces gogos que "quand c'est gratuit c'est toi le produit"
Pourquoi ne pas aller chez les meilleurs pour monter leurs systèmes (Lituanie par exemple) les administrations sont depuis toujours rétives à l'informatique au progrès et à tout ce qui peut changer. On se rappellera le contrat avec MS pour 240 000 Pots et softs pour le ministère de la défense. Quand on sait que le prestataire mange dans la main des autorités américaines.

[MaPommeTao]

Mais savent-ils au moins qui était Jean-Baptiste Poquelin (pas le mec des grues), ou Emma Bovary (pas Emmanuelle) ?

Test bidon où 50% ont cliqué en sachant ce qu'ils faisaient. Pour les 115 000 qui restent, on voit comment ils traitent les emails que vous leur envoyez. A mon avis, soit ils sont passés directement dans les indésirables ou soit mis automatiquement dans la corbeille. Même pas lu le titre, il faut garder le temps pour la sieste.

[tchize_]

Ce qui m'épate, c'est le nombre de gens prêt à juger et clouer au piloris toute une administration sans aucun contexte.

Alors je vais vous expliquer comment des gens intelligents, avec un grand niveau de QI, se sont faire avoir par un malware à un endroit où j'ai bossé par le passé. Je ne vais pas qualifier ces gens d'idiots, bien loin de là, ils font partie des gens les plus intelligents avec lesquels j'ai bossé.


Tout est partis d'un PC verollé, un windows pas à jour, oublié dans la surcharge de travail d'un service IT qui ne disposait pas à l'époque d'un domaine pour tout mettre à jour instantanément. Ce virus a donc fait la campagne de phishing la plus basique possible pour se reproduire: reprendre des emails que le gars à reçu et le renvoyer à des contacts au hasard. Au passage, s'attacher comme fichier .scr . Résultat, un email qui semble tout à fait légitime, envoyé par un collègue.

Seulement voilà, le virus on va dire a eu un gros coup de bol:
1) il a repris un email envoyé par un administrateur 6 mois plus tôt expliquant toute une procédure prévue pour une opération de migration et impactant les utilisateurs, les invitant à lire le document joint
2) il a envoyé cet email à la mailing list regroupant toute l'entreprise

voilà, vous avez donc des centaines de personnes qui recoivent un email provenant d'une sources sure, les invitant à lire un fichier qui n'est pas un de ces .doc ou .exe dont on leur a dit de se méfier dans toutes les formations... Et un admin qui n'a rien à voir avec cette histoire qui est pointé du doigt pour avoir infecté tout le monde!

dans ce genre de situation, le problème il n'est pas sur la chaise, le problème il est dans la gestion du risque IT. Il faut donner aux gens les moyens de comprendre ce qui se passe. Il faut comprendre aussi que, non, ce n'est pas en 2 heures de formations ou pire avec trois documents envoyés par email qu'on en fera des experts en debuscage de phishing. C'est du long terme. Et dire "je leur ai dit de pas cliquer dans le charte informatique de 30 pages qu'ils ont signé, c'est de leur faute" c'est totalement bidon. Le fait que je sois d'accord avec un document et que je m'engage à le suivre ne veux pas dire que je le connais par coeur. Ou alors il y aurait beaucoup de documents que je n'aurais pas signé car je sais que je serais incapable de retenir par coeur toutes les règles qui y sont décrites. Me demandez pas toutes les clauses indiquée dans mon crédit hypothécaire, et pourtant, je l'ai signé ce document et il m'engage pour 20 ans