BFM Business

Comment Bercy a "testé" ses agents en leur envoyant de faux e-mails

Bercy a testé la réaction de ses collaborateurs face au phishing, en leur envoyant un faux email incluant un lien à cliquer.

Bercy a testé la réaction de ses collaborateurs face au phishing, en leur envoyant un faux email incluant un lien à cliquer. - Loïc Venance-AFP

Pour sensibiliser à la cybersécurité ses 145.000 fonctionnaires, Bercy leur a envoyé de faux courriels issus d'expéditeurs au nom célèbre ou incongru pour voir s'ils allaient cliquer dessus. Un sur cinq se seraient laissés piégés, selon Le Figaro.

Comment éviter que des salariés cliquent en toute bonne foi sur de faux e-mails émis par des pirates informatiques ? En effectuant un test grandeur nature pour tester la réaction de ses collaborateurs, le ministère des finances a évalué leur "résistance" ou leur "perméabilité" à une éventuelle cyberattaque en envoyant de faux courriels à ses 145.000 agents.

Cet e-mail, reçu lundi matin sur les boîtes aux lettres électroniques professionnelles des fonctionnaires travaillant pour Bercy, les enjoignait à cliquer sur un lien internet pour gagner des places de cinéma, révèle Le Figaro.

Simuler une campagne massive de phishing par courriel

Le principe de ce type d'attaque par phishing (hameçonnage) est d'inonder une population ciblée ou non d'internautes de faux email usurpant une identité et comportant un lien frauduleux sur lequel la victime doit cliquer. En agissant de la sorte, celle-ci, abusée, déclenche sur son PC un logiciel de piratage de données ou de ransomware, bloquant l'ordinateur en échange d'un rançon.

Pour mettre leurs employés sur la piste de cette fausse "campagne" de phishing, les services de Bercy avait affublé les expéditeurs des courriels de noms de personnages célèbres décédés (Jean-Baptiste Poquelin) ou de noms de héros ou héroïnes de roman (Emma Bovary).

30.000 agents se sont laissés piéger

En dépit de cette "précaution", plus de 30.000 agents se sont laissés abuser et ont cliqué sur les liens du faux e-mail entre 10h00 et midi, selon Yuksel Aydin, adjoint au responsable sécurité des services informatiques de Bercy, cité par Le Figaro, qui ajoute, "c'est beaucoup"...

Les agents de Bercy ayant cliqué sur cet email voyaient ensuite s'afficher sur leur écran une page Web à visée didactique leur rappelant les précautions à prendre afin d'éviter de se faire pirater.

Cette initiative, encore peu courante en France, de simulation de cyberattaque par phishing, a eu lieu symboliquement au début du mois d’octobre 2017, consacré Mois européen de la cybersécurité. Durant cette période, de nombreux acteurs publics et associatifs sont appelés à se mobiliser en France comme dans le reste de l'Europe pour sensibiliser professionnels, particuliers et étudiants aux enjeux de la sécurité du numérique (menaces, bonnes pratiques, etc.).

Au-delà des aspects techniques du cyberpiratage, la vrai facteur vulnérable reste bien le facteur humain comme l'ont montré les récentes vagues de cyberattaques mondiales par "rançongiciel" visant les entreprises par le biais de faux e-mails.

Frédéric Bergé