De nombreuses entreprises réalisent régulièrement des exercices de cybersécurité tels que des campagnes de faux phishing. L'objectif est de vérifier que les collaborateurs réagissent correctement face à une cyber-menace. Rarement, cependant, les résultats sont rendus publics, surtout quand ils sont mauvais. Le CERN (Centre européen pour la recherche nucléaire, aujourd'hui Organisation européenne pour la recherche nucléaire), surtout connu pour ses accélérateurs de particules géants situés sur la frontière franco-suisse, a mené une opération de faux phishing le 1er août 2022. 22 731 courriels ont été envoyés avec comme objectif d'inciter les collaborateurs à saisir leur identifiant et leur mot de passe. « 1 800 personnes ont cliqué sur le lien, sont tombées dans le piège et ont inséré leur nom d'utilisateur » note le CERN dans sa communication. Cela représente un peu moins de 8 % des comptes.
Le bilan publié est bien sûr l'occasion de rappeler les bonnes pratiques. En particulier, comme la capture d'écran illustrant cet article le montre, les collaborateurs du CERN sont invités à se poser une série de questions avant de cliquer sur un lien. Surtout, c'est aussi l'occasion d'inciter fortement les collaborateurs à adopter l'identification à deux facteurs.
Les données du CERN sont sensibles. Mais, en plus, ses ressources informatiques sont colossales. Un pirate prenant la main sur un compte, a fortiori sur 1800 comptes, pourrait ainsi certes voler des données ou fausser une expérience mais, aussi, utiliser les ressources du CERN, par exemple sa puissance de calcul pour du minage de cryptomonnaies.
Le CERN organise un faux phishing et piège 8% des collaborateurs
Le CERN a révélé que près de 8 % de ses collaborateurs avaient été piégés dans une opération de faux phishing organisée par l'organisme lui-même.