Mois de la cybersécurité : Bercy simule une opération de phishing
Et plus de 30 000 de ses agents tombent dans le piège en l'espace de 2 h seulement

Le , par Coriolan, Chroniqueur Actualités
En 2015, une étude avait montré que le meilleur moyen de réduire le risque pour l’entreprise est de sensibiliser et former les employés aux pratiques de sécurité. En effet, les chercheurs se sont rendu compte que le déploiement de technologies sophistiquées pour lutter contre les risques de sécurité n’est pas suffisant, puisque le maillon le plus faible reste l’employé assis devant l’écran. S’il n’est pas inclus dans le programme de sécurité, alors les nombreux contrôles et mesures de protection ne permettent pas de réduire considérablement le risque qu’encourt l’organisation.

Ce lundi, ça a été le tour de Bercy de se rendre compte de ce constat. Les services de sécurité des systèmes informatiques du ministère des Finances ont mené une vaste opération de sensibilisation à la cybersécurité. Environ 145 000 agents de Bercy et d’agences indépendantes ont reçu des emails envoyés par un certain Jean-Baptiste Poquelin (Molière), Thérèse Desqueyroux ou encore Emma Bovary. Comme vous l’aurez deviné, ce sont tous des personnages totalement déconnectés de la réalité qui n’existent plus ou bien sont issus d’univers fictifs. Mais vraisemblablement, ça n’a pas été le cas pour les employés qui ont mordu l'appât de cette vraie fausse opération d’hameçonnage. Certains se sont même laissé séduire par une invitation à gagner des places de cinéma !

« Plus de 30 000 personnes ont cliqué sur les liens entre 10 heures et midi lundi matin. C'est beaucoup », constate Yuksel Aydin, adjoint au responsable sécurité des services informatiques de Bercy. Les agents qui sont tombés dans le piège ont été redirigés vers une page web pour découvrir les recommandations d’usage sur les emails et les précautions à prendre comme le fait de ne pas cliquer sur les liens contenus dans des emails de sources douteuses. « C'est aussi un moyen de tester nos procédures d'urgence », ajoute Yuksel Aydin, soucieux de démontrer que « la cybersécurité, ce n'est pas que des lignes de code, cela passe aussi par la sensibilisation des usagers. »

Après cette opération, Bercy compte mener d’autres opérations toujours dans le cadre du mois de la cybersécurité. Le ministère en question a collaboré avec plusieurs acteurs comme l’institut national de la consommation et la Banque de France afin de sensibiliser le grand public et les créateurs d’entreprises sur les bonnes pratiques de cybersécurité, notamment la mise en place de services numériques ou encore celle d’un service de paiement digital.

Lancement du Mois de la cybersécurité

Durant ce mois, plusieurs événements en France vont avoir lieu dans le cadre du mois européen de la cybersécurité pilotée par l’Enisa. Cette initiative vise à sensibiliser le grand public et mettre en avant le thème de cybersécurité dans les différents pays de l’union pendant le mois d’octobre. « Mettre un coup de projecteur sur les conseils des experts de la sécurité du numérique et les bonnes pratiques informatiques à adopter, que l’on soit un particulier, un employé ou un chef d’entreprise. Cette prise de conscience des utilisateurs quant à leur rôle à jouer va contribuer à augmenter significativement le niveau de cybersécurité en France », peut-on lire sur le portail du ministère des Armées.

Guillaume Poupart, Directeur Général de l’ANSSI a donné des précisons sur le programme de ce mois de la Cybersécurité. L’ANSSI va faire le relais national de cette initiative. Au total, 55 événements vont avoir lieu avec l’implication de neuf ministères et de nombreux relais associatifs.

Durant la première semaine, le thème de sécurité dans le monde professionnel va être abordé ainsi que la mise en ligne du nouveau site du CERT Fr. Durant la deuxième semaine, l’accent va être mis sur le RGPD. La troisième semaine sera placée sous le signe de la cybersécurité à la maison. Et enfin la quatrième semaine sera dédiée aux problématiques de la formation. En ce qui concerne la directive NIS, directive européenne sur la cybersécurité, le texte sera transmis au Conseil d’État le 15 octobre en vue d’une publication en mai 2018.

Source : Le Figaro - ANSSI

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Fleur en plastique Fleur en plastique - Nouveau Candidat au Club https://www.developpez.com
le 03/10/2017 à 18:14
Les employés de Bercy, ce sont des gens juste payés pour emmerder les gens et exiger le règlement de sommes astronomiques pour payer les jets privés des présidents et taper des chiffres dans Excel, alors la moindre des choses c'est qu'ils ne mettent pas en danger le système informatique de l'État.

Pour moi, un employé des impôts suffisamment bête et stupide pour se laisser avoir par un phishing est un employé qui doit être licencié immédiatement pour faute lourde.
Avatar de madfu madfu - Membre confirmé https://www.developpez.com
le 03/10/2017 à 19:08
Pour moi, un employé des impôts suffisamment bête et stupide pour se laisser avoir par un phishing est un employé qui doit être licencié immédiatement pour faute lourde.
Ou le former / sensibiliser etc sinon (certains mails de phishing sont d'ailleurs très bien faits)
Avatar de tchize_ tchize_ - Expert éminent sénior https://www.developpez.com
le 03/10/2017 à 21:52
Hoo un troll en plastique, ça faisait longtemps

Blagues à part, si c'est même genre de "test de phishing" auquel j'ai déjà eu droit, voilà comment ça se passe

1) tout le monde dans l'open space reçois le mail plus ou moins en même temps
====> hooo, comme c'est suuuurprenant
2) tout le monde rigole en disant "c'est quoi ste connerie, sérieux, un mail envoyé par un gars qui se fait appeler Elvis P. du service informatique?"
3) quelqu'un tappe un curl sur l'url pour voir c'est quoi ste tentative naive
====> Hoooo, on reçoit une redirection vers le site de l'entreprise, sur une url non documentée, reprenant les conseils de sécurité mode "je te prend pour un con"
5) tout le monde dans l'open space clique sur le lien pour aller rigoler sur la page puis clique sur reload en constatant que chaque reload fait monter le compteur "vous êtes X a vous être fait avoir soyez plus prudent"
Avatar de captaindidou captaindidou - Membre averti https://www.developpez.com
le 03/10/2017 à 22:11
Et moi qui m'étonne que les entreprises sont victimes de rançonwares.

Sérieusement, par quels modus operandi les randonneurs arrivent-ils à leur fin ? Est-ce par le biais d'une pièce jointe exécutable ? Ça me semble tellement improbable que j'en doute.

Les spécialistes en secu, eclairez-moi, svp.
Avatar de Nb Nb - Membre régulier https://www.developpez.com
le 03/10/2017 à 23:47
3) quelqu'un tappe un curl sur l'url pour voir c'est quoi ste tentative naive
S'il y a quelqu'un dans l'open space capable de faire un cURL, vous ne faites pas partie la cible du test. J'imagine qu'il s'agit surtout de sensibiliser/eduquer les utilisateurs lambda de l'outil informatique.
Ce que ce test montre de nouveau c'est surtout que 30K pélos sur 145K ne connaissent ni, Moliere ni Mauriac et ca c'est flippant.

Sérieusement, par quels modus operandi les randonneurs arrivent-ils à leur fin ?
Oh ben je dirais qu'avec un bon check meteo, une bonne carte IGN et en se fiant au balisage et aux cairns en general on y arrive bien
Avatar de Dominik94 Dominik94 - Membre régulier https://www.developpez.com
le 04/10/2017 à 0:51
il semble manquer, quand même, l'étape indispensable de tout phishing qui se respecte : la récupération des identifiants et password, car nulle part dans l'article il en est question.
Avatar de marsupial marsupial - Membre expérimenté https://www.developpez.com
le 04/10/2017 à 5:02
Phishing = attrape nigaud, je vous laisse conclure.
Avatar de Skury Skury - Membre régulier https://www.developpez.com
le 04/10/2017 à 8:34
Citation Envoyé par Dominik94 Voir le message
il semble manquer, quand même, l'étape indispensable de tout phishing qui se respecte : la récupération des identifiants et password, car nulle part dans l'article il en est question.
Pas besoin d'identifiants/mots de passe, il s'agissait juste d'une (fausse) campagne pour les amener à suivre un lien qui aurait pu leur faire télécharger du contenu malveillant.
Avatar de Chuck_Norris Chuck_Norris - Membre émérite https://www.developpez.com
le 04/10/2017 à 9:12
Citation Envoyé par Skury Voir le message
Pas besoin d'identifiants/mots de passe, il s'agissait juste d'une (fausse) campagne pour les amener à suivre un lien qui aurait pu leur faire télécharger du contenu malveillant.
Oui, certes, mais si l'utilisateur est suffisamment stupide pour saisir ses identifiants sur une fausse page, alors là on arrive dans le domaine du QI niveau azote liquide, ce qui aurait permis de pouvoir afficher partout dans l'entreprise le Wall of Shame de tout ceux qui ont été pris en flagrant délit de bêtise.
Avatar de madfu madfu - Membre confirmé https://www.developpez.com
le 04/10/2017 à 9:29
Oui, certes, mais si l'utilisateur est suffisamment stupide pour saisir ses identifiants sur une fausse page, alors là on arrive dans le domaine du QI niveau azote liquide, ce qui aurait permis de pouvoir afficher partout dans l'entreprise le Wall of Shame de tout ceux qui ont été pris en flagrant délit de bêtise.
C'est toujours pareil, toi moi et probablement 99,99% des membres de ce site sont informés mais ce n'est pas le cas d'une grande partie de la population qui pour certains ne maîtrisent pas les mécanismes en jeu alors que pourtant ils excellent certainement dans leur taf, ça ne fait pas d'eux (forcément) des gens bêtes et ça ne fait pas de nous des gens intelligents non plus, juste un peu plus informé que les autres.

Si dans ma boite j'ai une secrétaire qui fait un super taf mais qui clique à tort et à travers sur mes mails de phisphing je ne ne pense que j'en déduirais beaucoup de choses sur son QI mais j'en conclurait qu'il y'a un gros problème de culture oui.
Offres d'emploi IT
Architecte Systèmes et Réseaux H/F
Michael Page - Nord Pas-de-Calais - Lille (59000)
Développeur Windev H/F
Page Personnel - Centre - Tours (37000)
Developpeur WEB/BDD
Manzalab - Ile de France - Paris (75001)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil