La pièce jointe que l’on ouvre et qui diffuse un virus dans toute l’entreprise demeure le vecteur principal des attaques informatiques. Le PMU a testé les réactions de ses collaborateurs en mai dernier en leur envoyant un email de ce type conçu par ses soins. 22% ont cliqué dans la pièce jointe.
Le hack, c’est trop facile. Environ 120 collaborateurs du PMU se sont laissés piéger par un faux email leur proposant de gagner un iPad. Ils ont cliqué dans le lien présent dans l’email et donné leurs coordonnées.
6% ont donné leurs coordonnées
C’est le résultat d’un test mené en vraie grandeur par le PMU en mai dernier pour mesurer la résistance à une attaque par phishing de ses collaborateurs. Résultat : 22% des salariés ont ouvert la pièce jointe associée à un faux email d’invitation à participer à un jeu pour gagner un iPad.
Et 6% – soit environ 120 personnes – ont cliqué sur le lien présent à l’intérieur et donné leurs coordonnées pour gagner le lot. La pièce jointe affichait un faux message destiné à effrayer durant quelques minutes ceux qui l’avaient ouverte en leur faisant croire que leur PC est en danger et va être vidé.
Le test a été réalisé de façon anonyme, par un prestataire externe, en revanche, on sait que ce sont des personnes de tous les services qui ont cliqué dans l’email.
L’attaque contre TV5 monde
La DRH a donné le feu vert à l’opération car le test a été réalisé juste après les incidents de TV5 Monde qui avait vu la chaîne être bloquée durant une journée à la suite d’une attaque informatique.
Le résultat est à la fois inquiétant et rassurant. Inquiétant car test est intervenu après que le PMU ait procédé à deux ou trois campagnes de sensibilisation au phishing, en expliquant aux collaborateurs qu’il ne faut pas cliquer sur les liens présents dans les emailings. Rassurant, car le fait que le PMU communique de tels résultats permet de sensibiliser l’ensemble des entreprises à ce type de risques.
Le phishing est banal
Le phishing est une attaque informatique qui consiste à envoyer des emails imitant ceux de sociétés reconnues – banques, organismes sociaux – afin de recueillir les coordonnées bancaires des personnes ciblées.
Les attaques qui propagent des virus informatiques dans les entreprises – appelées APT (Advanced Persistent Threat) – passent majoritairement par l’ouverture de pièces jointes qui diffusent ensuite un code informatique malveillant entre les machines du réseau de l’entreprise.