26 juillet 2024
Bulletin interne de l'Institut Pasteur
Lundi 15 juillet dernier, l’équipe sécurité des systèmes d’information (SSI) a conduit un exercice de faux phishing sur l’ensemble des adresses e-mails de l’Institut Pasteur sur le thème des Jeux Olympiques.
Pour cette première campagne de faux phishing, l’ensemble des adresses e-mails a été ciblé et les réactions analysées sur 24 heures. Cette campagne avait pour but :
• D’obtenir des indicateurs globaux, anonymes, à l’échelle de l’Institut ;
• De rappeler que ce type d’attaque peut survenir et de donner à voir la forme qu’elles peuvent prendre, en particulier dans le contexte des jeux olympiques.
Résultats
Vous avez été nombreux à signaler l’e-mail et à prendre les devants pour alerter vos collègues, ce sont de très bons réflexes !
L’équipe SSI vous remercie tous pour votre participation, et en particulier les personnes qui ont pris le temps de renseigner le questionnaire d’amélioration des actions de sensibilisation après être tombées dans le piège.
Quelles suites ?
Sur un exercice de ce type, les objectifs sont d’avoir :
• Des taux de clics et de soumissions d’identifiants les plus faibles possibles ;
• Un taux de signalement le plus élevé possible : les signalements des e-mails suspects que vous faites à l’équipe SSI sont en effet cruciaux pour permettre une réaction rapide aux attaques subies par l’Institut.
Pour une première campagne de faux phishing, les taux de clics et de soumissions sont bons*. Ils peuvent toutefois être largement améliorés par des exercices de faux phishing plus fréquents et des actions de sensibilisation plus ciblées. L’équipe SSI travaillera dans ce sens pour les prochaines campagnes.
Les résultats des différentes campagnes menées seront accessibles ici sur ePasteur.
En attendant, vous pouvez retrouver les ressources utiles ci-dessous, en particulier dans le contexte des jeux olympiques et paralympiques de Paris 2024 :
• Nos pages ePasteur pour Repérer et signaler un mail malveillant et Vous renseigner sur les actions de sensibilisation à la cybersécurité conduites à l'Institut Pasteur
• Recommandations de cybermalveillance.gouv.fr pendant la période des jeux olympiques et paralympiques de Paris 2024 et un entrainement ludique aux réflexes de cybersécurité à avoir, mis en ligne gratuitement par la société Kamaé
*Comparaison avec les chiffres du rapport 2024 de la société KnowBe4 « Phishing by Industry benchmarking report »