29 Avr. 19 Témoignages
Crédit Agricole Technologies et Services :« Un test de faux phishing de grande ampleur et sur-mesure »
CA-TS, Crédit Agricole Technologies et Services, est une entité du Crédit Agricole créée en 2010. Ses 3200 collaborateurs, détachés et prestataires, basés sur 17 sites, gèrent l’ensemble du système d’information des 39 Caisses de la banque coopérative. Patrick Mazet, responsable de sécurité des systèmes d’information, a choisi Certilience et sa solution CertiAware pour réaliser des tests de faux phishing.
Des campagnes de faux phishing pour sensibiliser les collaborateurs
Dans le cadre de son programme de renforcement de la sécurité, le Crédit Agricole souhaitait mener une action de sensibilisation de l’ensemble de ses collaborateurs. On sait que l’humain est devenu le principal point de vulnérabilité dans les actions de cyberattaques. L’objectif de ce test était de mesurer les réactions de collaborateurs et d’ajuster les actions de prévention en amont.
« Nous avions déjà une solution interne au groupe pour réaliser des campagnes de faux phishing , explique Patrick Mazet, mais celle de Certilience nous apportait une simplicité technique et une valeur ajoutée en termes d’accompagnement et de conseils, tout en étant abordable. »
Analyser les comportements mais aussi les réactions
Le phishing consiste à envoyer un email malveillant demandant à l’utilisateur de fournir des informations confidentielles, par exemple ses identifiants. Grâce à ce test, la solution CertiAware mesure de son côté les actions réalisées : lecture ou suppression de l’email, clic sur le lien, envoi des informations…
« Mais le plus important, précise Patrick Mazet, ce sont les réactions après les actions malheureuses. Les utilisateurs connaissent-ils nos procédures en cas d’incident ? Quels sont les canaux d’alerte utilisés ? Est-ce que les utilisateurs ont modifié leur mot de passe après l’avoir donné à un site visiblement malveillant ? Le font-ils après avoir été alerté par nos services ? Quelle est l’efficacité du système d’alerte en interne ? Maitrisons-nous nos communications internes et externes en cas d’incident ? ».
En complément de l’analyse réalisé par Certilience, CA-TS a de son côté organisé la collecte de données sur les réactions des destinataires.
« Nous avons commencé par monter un scénario avec Certilience. En fonction de la qualité de l’email envoyé, les résultats obtenus sont très différents. Notre objectif était de sensibiliser les utilisateurs, donc nous voulions que l’exercice ne soit ni piégeant, ni trop évident, et nous avons beaucoup insisté sur l’anonymat des résultats de la campagne. »
Gérer le suivi de la campagne de sensibilisation
En 2017, un premier test avait été réalisé auprès des 3200 collaborateurs de l’entreprise afin de les sensibiliser et démontrer l’intérêt de l’exercice. Celui-ci s’est avèré concluant : il a été reconduit en 2018, cette fois-ci auprès des 70 000 collaborateurs des Caisses régionales du Crédit Agricole.
Au vu du volume, l’expérience était loin d’être simple. Pourtant, tous les e-mails envoyés ont bien été délivrés ! Les envois ont été réalisés par vagues, ce qui représente un important travail d’organisation en amont pour Claire Méthia, responsable du projet au sein de CA-TS. Il s’agissait en particulier, d’anticiper les flux de demandes auprès du centre d’appels et des autres services sollicités potentiellement par erreur, mais aussi de canaliser les réactions en mettant différents interlocuteurs dans la confidence. La personnalisation des campagnes a aussi intégré une couverture horaire importante, pour s’adapter aux Caisses localisées en outremer.
Utiliser les résultats pour améliorer ses règles de sécurité
Pendant toute la durée de l’exercice, un site internet avec la plateforme de reporting CertiAware fournit par Certilience permettait de consulter toutes les actions, et d’avoir un reporting sur chaque caisse. Le livrable final a fourni un rapport précis sur chacune des caisses, indiquant l’évolution des actions et des réactions dans le temps.
« En cas d’attaque réelle, les 10 premières minutes sont primordiales. Il importe d’avoir une capacité de détection et de réaction très rapide. »
A partir de ces résultats, CA-TS a identifié des actions d’amélioration des canaux d’alerte, mais aussi des actions de formation. La sensibilisation à la sécurité est, par exemple, complétée dans l’accueil des nouveaux arrivants.
« Certilience ne s’est pas contenté de nous donner des statistiques. Ils nous ont aussi donné des conseils, notamment pour nous permettre de savoir comment nous étions situés par rapport aux autres entreprises du même domaine d’activité. »
Prochaine campagne de sensibilisation : nouveau format
L’expérience a convaincu, et tout le monde demande à la renouveler. Cela se fera dans un format nouveau pour laisser la main aux caisses.
« Nous envisageons une offre à tiroirs pour que certaines caisses puissent contacter directement Certilience. Chacun a sa vision, certaines caisses voulaient un niveau de difficulté plus ou moins élevé que celui que nous avons imaginé dans le scénario de faux phishing. Certilience va nous accompagner pour avoir une personnalisation des campagnes encore plus fine. »