👥 Sensibilisation des utilisateurs
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B3 — Cybersécurité des services informatiques |
| Module | M3.3 — Sécurisation des équipements et des usages |
| Durée | 3,5 heures |
| Prérequis | Connaissances générales en cybersécurité (modules précédents) |
🎯 Objectifs
- Comprendre pourquoi l'humain est le premier vecteur d'attaque
- Identifier les techniques d'ingénierie sociale et de phishing
- Concevoir et mettre en œuvre un programme de sensibilisation à la cybersécurité
- Organiser des simulations de phishing et analyser les résultats
- Rédiger une charte informatique conforme au droit du travail et au RGPD
- Mesurer l'efficacité des actions de sensibilisation
📖 L'humain, premier vecteur d'attaque
Selon les études (Verizon DBIR 2024), plus de 74% des violations de données impliquent un élément humain : erreur, abus de privilege ou ingénierie sociale. Les solutions techniques seules sont insuffisantes si les utilisateurs ne sont pas formés.
L'ingénierie sociale exploite les biais cognitifs humains :
- Autorité : se faire passer pour un responsable ou une personne d'autorité
- Urgence : créer une pression temporelle pour court-circuiter la réflexion
- Réciprocité : offrir quelque chose pour obtenir quelque chose en retour
- Confiance : usurper l'identité d'une entité connue (Microsoft, banque, collègue)
- Peur : menacer de conséquences négatives pour forcer l'action
📖 Types d'attaques par ingénierie sociale
Phishing
Le phishing est l'envoi d'emails frauduleux imitant des entités légitimes pour voler des identifiants, données bancaires ou installer des malwares. Variantes :
- Spear phishing : ciblé sur une personne ou organisation précise, très personnalisé
- Whaling : vise spécifiquement les dirigeants (PDG, DAF)
- Vishing : phishing par appel téléphonique
- Smishing : phishing par SMS
- Quishing : phishing via QR Code malveillant
Comment reconnaître un email de phishing ?
| Indice | Exemple suspect |
|---|---|
| Expéditeur suspect | microsoft-support@gmaill.com (double l) |
| URL trompeuse | microsoftt.com/login (double t) |
| Urgence artificielle | "Votre compte sera bloqué dans 24h !" |
| Fautes d'orthographe | Souvent présentes (mais de moins en moins avec l'IA) |
| Demande d'identifiants | Les services légitimes ne demandent jamais le mot de passe par email |
| Pièce jointe suspecte | .exe, .js, macro Office, archive protégée |
Pretexting et vishing
Le pretexting consiste à créer un scénario fictif crédible pour obtenir des informations. Exemple classique : un "technicien de l'assistance informatique" appelle pour demander le mot de passe "pour résoudre un problème urgent".
Baiting (appâtage)
Laisser une clé USB infectée dans un parking ou une salle de réunion. La curiosité naturelle pousse souvent les employés à la brancher sur leur ordinateur.
📖 Programme de sensibilisation
Les piliers d'un programme efficace
- Évaluation initiale : mesurer le niveau de sensibilisation (test de phishing, quiz)
- Formation : modules e-learning adaptés aux profils, présentiel pour les sujets complexes
- Simulation : campagnes de phishing simulées régulières
- Communication continue : newsletters, affiches, messages dans les outils métier
- Mesure de l'efficacité : suivi des indicateurs (taux de clic sur phishing, signalements)
- Culture de la sécurité : rendre chaque collaborateur acteur de la sécurité
Conduite d'une campagne de phishing simulée
# Exemple avec GoPhish (outil open source)
# 1. Configurer le serveur GoPhish
# Créer une campagne :
# - Template d'email imitant un service connu (Microsoft 365, DHL)
# - Page d'atterrissage imitant la page de connexion
# - Groupe cible : liste des emails employés
# 2. Indicateurs à suivre
# - Taux d'ouverture de l'email
# - Taux de clic sur le lien
# - Taux de saisie des identifiants
# - Taux de signalement au SOC/helpdesk
# 3. Actions post-campagne
# - Informer immédiatement les personnes qui ont cliqué
# - Proposer une formation ciblée
# - Ne pas sanctionner : l'objectif est pédagogique
💡 Règle des 3 non
Lors d'un appel ou email suspect, apprenez aux utilisateurs : Ne jamais communiquer ses identifiants, Ne jamais ouvrir de pièce jointe non sollicitée, Ne jamais cliquer sur un lien avant de vérifier l'URL. En cas de doute, raccrocher et rappeler via le numéro officiel.
📖 La charte informatique
Définition et valeur juridique
La charte informatique (ou charte d'utilisation des systèmes d'information) est un document contractuel définissant les droits et obligations des utilisateurs concernant les ressources informatiques de l'entreprise. Pour avoir une valeur juridique :
- Doit être annexée au règlement intérieur et soumise au CSE
- Doit être portée à la connaissance de chaque salarié (signature)
- Doit être conforme au droit du travail (vie privée, liberté d'expression)
- Doit informer des traitements RGPD mis en œuvre (logs, surveillance)
Contenu typique d'une charte informatique
- Objet et champ d'application
- Règles d'utilisation du poste de travail et des ressources (Internet, email, stockage)
- Politique de mots de passe
- Utilisation des appareils personnels (BYOD)
- Droits et limites de l'usage personnel des ressources informatiques
- Règles de confidentialité et protection des données
- Moyens de contrôle mis en place (logs, supervision)
- Signalement des incidents
- Sanctions applicables en cas de non-respect
📖 Mesure de la maturité cybersécurité
Des référentiels permettent d'évaluer et d'améliorer le niveau de sensibilisation d'une organisation :
- NIST Cybersecurity Framework : Identify, Protect, Detect, Respond, Recover
- ISO/IEC 27001 — Annexe A.7 : sécurité des ressources humaines
- Cyber Essentials (NCSC, UK) : certification de base cyber
- Score de maturité des campagnes de phishing : taux de clic < 5% = bon niveau
🛠️ Outils / Ressources
- GoPhish : plateforme de simulation de phishing open source
- KnowBe4, Proofpoint Security Awareness : plateformes de sensibilisation SaaS
- ANSSI — Cyber Hygiène : 12 recommandations essentielles
- MOOC Secnumacadémie (ANSSI) : formation gratuite en ligne
- Guides CNIL sur les chartes informatiques
- Have I Been Pwned : vérifier si des emails d'entreprise sont dans des fuites connues
📝 QCM — Testez vos connaissances
- Qu'est-ce que le "spear phishing" et en quoi est-il plus dangereux que le phishing classique ?
- Quelle condition est nécessaire pour que la charte informatique ait une valeur juridique ?
- Quel biais cognitif l'attaquant exploite-t-il en disant "votre compte sera bloqué dans 2 heures" ?
- Quel est l'objectif principal d'une campagne de phishing simulée ?
- Quel outil open source permet de mener des campagnes de phishing simulées ?
- Selon les statistiques, quel pourcentage des violations de données implique un facteur humain ?
📝 Afficher les corrections
- Le spear phishing est un phishing ciblé sur une personne ou organisation précise, avec des informations personnalisées (nom, poste, collègues). Il est beaucoup plus convaincant car l'email semble provenir d'un contact connu et contient des informations pertinentes.
- Elle doit être annexée au règlement intérieur, soumise au CSE et portée à la connaissance de chaque salarié (idéalement signée). Sans cette procédure, elle n'est pas opposable aux salariés.
- L'urgence artificielle — Ce biais pousse les victimes à agir rapidement sans prendre le temps de vérifier l'authenticité de la demande.
- Former et sensibiliser les employés par l'expérience, pas les sanctionner. L'objectif est pédagogique : les personnes qui ont cliqué reçoivent immédiatement une formation et comprennent comment reconnaître ce type d'attaque.
- GoPhish — plateforme open source permettant de créer et gérer des campagnes de phishing simulées avec templates d'emails et pages d'atterrissage.
- Plus de 74% (Verizon DBIR 2024) — Ce chiffre illustre l'importance critique de la sensibilisation des utilisateurs, complémentaire aux mesures techniques.