« Le scénario le plus redouté est une cyberattaque »

27.08.2024

En partenariat avec le CIGES, le RHNe a lancé, le 20 août dernier, sa deuxième campagne contre l’hameçonnage informatique (phishing). Dirigé par Frédéric Gaudun, responsable sécurité des services d’information (RSSI) au CIGES, ce projet constitue une protection non-négligeable pour déjouer les risques liés au piratage de ses données, personnelles ou professionnelles. Interview.

HCOM : La première campagne contre l’hameçonnage informatique se concentrait sur l’identification des messages de phishing et les risques liés aux fichiers attachés. Qu’en est-il cette année ?

Frédéric Gaudun: Cette seconde campagne s’articule en deux volets: l’hameçonnage via les appareils mobiles et les leviers psychologiques utilisés par les pirates informatiques pour nous appâter. Nos téléphones portables et nos tablettes sont susceptibles d’être facilement attaqués, notamment via les applications, au moment d’accorder les accès à certaines fonctionnalités de notre appareil. Il convient alors de s’interroger: « Pourquoi cette application a-t-elle besoin d’accéder à ma caméra ou à mon micro ? » Il est essentiel de prendre le temps de la réflexion. Ce conseil vaut pour toutes les tentatives de piratage. Les hackers jouent sur nos réflexes comme la peur ou l’appât du gain et veulent inciter leur potentielle victime à agir avec précipitation, en cliquant rapidement sur un lien frauduleux, par exemple.

À quels risques sommes-nous exposés ?

Il faut distinguer les risques liés à la sphère privée ou professionnelle. À titre privé, on s’expose au piratage de nos comptes en banque, à de l’escroquerie ou encore à du chantage, notamment dans le cas où ou une personne malveillante a eu accès à notre caméra et négocie la non-diffusion d’images compromettantes contre une somme d’argent. Au niveau professionnel, le scénario le plus redouté est une cyberattaque. Deux cabinets médicaux neuchâtelois en ont d’ailleurs fait les frais en 2022. Ce type d’attaque se prépare pendant des mois. Les cybercriminels procèdent toujours de la même manière: ils identifient une faille dans le système qui leur permet d’accéder, par ricochets, à toutes les données de l’institution. Ils transfèrent ensuite ces dernières sur un serveur externe et prennent soin de détruire les sauvegardes internes. Enfin, ils négocient une rançon en échange de la non-diffusion des données piratées sur le darknet. La faille initiale peut prendre plusieurs formes: parmi elles, l’accès à un e-mail ou un agenda professionnel installés sur un smartphone.

Quels sont les moyens pour éviter cela ?

Pour se prémunir contre ce type d’attaque, il est essentiel de travailler sur plusieurs fronts. L’État de Neuchâtel dispose d’une cellule de surveillance informatique. À la moindre anomalie, nous en sommes informés automatiquement. Le système repère les incohérences: à titre d’exemple, si un « médecin » tente d’accéder à la comptabilité de son entreprise, une alerte nous sera envoyée. L’information aux utilisateurs est également primordiale, d’où le lancement de cette campagne contre l’hameçonnage informatique. Cette année, nous avons voulu la rendre obligatoire afin de sensibiliser le plus grand nombre de collaborateurs aux risques liés à la criminalité informatique et la manière de les contourner. J’aime comparer un système numérique à une boîte de nuit: nous en sommes les videurs et décidons de qui rentre et qui ne rentre pas. Tous les pare-feux informatiques existants ne remplaceront jamais l’esprit humain.    

Sommes-nous tous concernés par la menace de piratage ?

Absolument ! On croit, à tort, que les personnes âgées sont les plus vulnérables. Or, la jeune génération est davantage à risque. Bien que née à l’ère des téléphones portables, elle n’est pas plus armée que les anciens à repérer les menaces. Les jeunes ont plutôt tendance à cliquer par habitude, sans se poser trop de questions. D’autant que la problématique du piratage est taboue: les victimes en parlent peu, de peur de passer pour des « pigeons ». Il est pourtant essentiel de raconter son expérience à son entourage pour montrer que cela n’arrive pas qu’aux autres.

La campagne Diagnophish se poursuit jusqu’en décembre 2024. En plus d’une vidéo explicative, vous recevrez, par e-mail, un quiz sur les bons réflexes à adopter pour ne pas vous faire pirater. Un test de phishing vous sera soumis d’ici quelques semaines. En attendant, n’hésitez pas à consulter les quatre règles pour protéger votre smartphone.