Mois de la cybersécurité, une expérience faite au CERN
C’est le mois de la cyber security 2021 en Europe (https://cybersecuritymonth.eu/ ). En Suisse, de nombreuses actions sont déclenchées. Une campagne de sensibilisation va bientôt démarrer à l’université de Fribourg. Un questionnaire va être proposé par le Service du personnel et la DIT. Les participant-es pourront être invité-es à une formation après avoir rempli le questionnaire. Plus d’informations à venir bientôt…
En attendant, centrons ce billet sur la Journée de sensibilisation à la sécurité 2021 organisée par SWITCH le 5 octobre dernier et annoncée dans un des billets précédents de ce blog.
Ce billet s’attache plus particulièrement, parmi les différents interventions de la journée, à la présentation « Email-based threats: addressing the human factor with simulated phishing campaigns » de Sebastian Lopienski (Deputy Computer Security Officer au CERN).
Sebastian Lopienski (SL) disait que le CERN avait choisi de faire une campagne de sensibilisation parmi ses collaborateurs et collaboratrices en se servant des mails car ceux-ci sont de très bons vecteurs d’attaques pour les raisons suivantes : les mails sont faciles et peu chers à envoyer, il est facile de truquer le champ « from » de l’envoyeur d’un mail et facile d’inclure dans un mail des liens ou des fichiers attachés contenant des « choses malignes ».
SL présentait aussi différentes raisons pour lesquelles le CERN avait lancé une campagne de sensibilisation. En premier lieu, il affirmait que des mesures techniques de protection existent mais que les utilisateurs et les utilisatrices sont la dernière ligne de défense. En second lieu, il disait qu’il ne s’agit pas pour une organisation de blâmer ses membres au sujet de la sécurité informatique car les gens veulent être en sécurité et veulent apprendre.
Différentes campagnes de sensibilisation ont donc été menées au CERN en simulant des campagnes de « phishing » avec des liens « malins » en 2016-2018, des fichiers attachés « malins » en 2019 et des sites web en 2020-2021. Pour les emails avec des liens, la campagne de sensibilisation a reposé sur 21248 mails simulés contenant des liens « malins ». Résultat : 5010 liens de ces mails avaient été suivis (soit 24%). En regardant qui cliquait, les organisateurs de la campagne ont obtenu plusieurs résultats dont voici quelques exemples : 1) les personnes de moins de 25 ans étaient moins prudentes que tous les autres groupes d’âges considérés (26-35, 36-45, etc.) ; 2) le nombre de clics variaient selon les catégories professionnelles ; 3) on ne voyait pas de différences de comportement entre femmes et hommes. Signalons aussi que, selon SL, les réactions des membres du CERN à ces campagnes de simulation d’attaques avaient été en général très positives.
