Accueil   >  Actualités   >  Actualités RENATER   >  Campagnes pédagogiques de phishing - Université Toulouse 1
Mardi 17 Juil. 2018 - 21:34

Campagnes pédagogiques de phishing - Université Toulouse 1

4 juillet 2018
 

Les activités du CERT RENATER sont indispensables pour assurer la cybersécurité de notre communauté, néanmoins les actions préventives réalisées par les établissements permettent de renforcer la pédagogie autour des bonnes pratiques de cybersécurité.


Recevoir des mails de phishing de sa propre DSI ?

C’est l’idée ingénieuse mise en place par Fabrice Prigent, RSSI à Université Toulouse 1 Capitole. Fort du constat que les formations théoriques ne fonctionnent pas en matière d’usage numérique quotidien, il décide en 2011 à la suite d’un trop grand nombre de victimes de phishing d’envoyer lui-même des fausses campagnes de phishing à ses utilisateurs avec comme objectif d’améliorer la résistance de l’ensemble de ses utilisateurs aux phishings.


D’abord, est-ce que cela fonctionne ? Quels bénéfices au long terme ?

Le constat est clair après sept ans à Université Toulouse 1 Capitole : un nouvel utilisateur sur deux se fait piéger par les campagnes de faux phishing alors que les utilisateurs ayant été éduqués par les campagnes pédagogiques de phishing sont très résistants avec 3% de piégés seulement.

De ce fait, les bonnes pratiques de sécurité numérique s’ancrent dans les usages avec un nombre de victimes de vrais phishings diminué de six piégés par an à un voire aucun piégé par an, malgré les efforts conséquents des pirates utilisant la mire de l’établissement ou pour cause de keylogger ou autre malware.

La population hétérogène des utilisateurs de Toulouse 1 Capitole est maintenant bien plus résistante aux malveillances numériques, si bien que de nombreuses réelles tentatives de phishing sont attribuées par erreur à la DSI et ainsi sont rendues inefficaces.


Existe-il une recette miracle pour initier une pédagogie sur le phishing ?

Durant ses sept années d’expérience, Université Toulouse 1 Capitole a pu mettre en place la stratégie pédagogique qui fonctionne le mieux auprès de ses utilisateurs grâce à une démarche expérimentale et une prise en compte des spécificités de son public.

En sept ans, les pirates sont devenus plus agressifs et plus persuasifs, le côté "artisanal" des débuts est ainsi moins adapté. Afin de débuter sa campagne de phishing pédagogique, actuellement, la démarche consiste en trois étapes :

  1. Faire valider par l’institution : établir avec la direction le périmètre de la campagne pédagogique, ses objectifs et sa communication, afin de le valider politiquement et le présenter ensuite aux instances représentatives du personnel.
  1. Avertir et éduquer : envoi d’une communication pédagogique donnant la définition du phishing, rappelant la physionomie du CAS (voir le lien plus bas) et avertissant de l’arrivée de la future campagne. Envoi quelques jours après d’un mail de faux phishing proche des communications institutionnelles, mais pas trop (couleur et logo mais placés "simplement"). Cette étape permet de démarrer en douceur.
  1. Entrainer : envoi de mails de faux phishing sous forme d’une campagne quotidienne sur des groupes aléatoires renouvelée tous les 3 mois avec des phishings qui renvoient sur une page quasi-identique à la mire d’authentification de l’établissement.


Quels sont les facteurs clés de succès d’une campagne pédagogique ?

Quelle que soit la démarche mise en place et la forme utilisée pour les mails de faux phishing, l’essentiel est de tirer les enseignements de la phase d’initialisation et de mettre en place une campagne pédagogique à long terme basée sur les trois critères suivants :

  • Régularité : les campagnes de faux phishing fonctionnent comme les vaccins, il faut faire des rappels de manière fréquente afin d’éduquer les nouveaux utilisateurs mais également entrainer les initiés
  • Adaptation et variation des facteurs : une tentative de phishing profite du contexte pour s’assurer de son efficacité, il faut donc adapter les campagnes de faux phishing aux dernières tendances de phishing ainsi qu’à sa population d’utilisateurs qui peut être assez hétérogène.
  • Pédagogie et déculpabilisation : afin de rendre la campagne de faux phishing efficace, les utilisateurs doivent y trouver leur propre intérêt et ne pas se sentir "pris en traitre" par la DSI, une démarche d’accompagnement et de simples explications est donc primordiale.


Pour en savoir plus sur la pédagogie réalisée lors des campagnes de faux phishing :
https://dsi.ut-capitole.fr/documentations/phishing.php

Quelques exemples de textes de phishing pédagogique :
https://dsi.ut-capitole.fr/documentations/phishing_textes.php

Un petit historique sur le phishing pédagogique :
https://www.ossir.org/paris/supports/2013/2013-02-12/OSSIR_phishing.pdf

_
 [1]