Résultats de l'audit cybersécurité du personnel et des étudiants
Un audit via des emails de phishing a été mené la semaine du 17 novembre 2025 pour évaluer notre niveau de risque et établir un plan d'action pour nous faire tous progresser.
Contexte
Une grande partie des incidents de sécurité de notre SI démarrent par la compromission d’un compte utilisateur (phishing, logiciel malveillant).
Pour nous protéger, il y a principalement deux sujets à travailler en parallèle :
- Les moyens techniques
- La sensibilisation des utilisateurs
La sensibilisation des personnels et des étudiants doit se faire avec des méthodes variées : Emails d’information, news intranet, formations cybersécurité, … et des emails de phishing réalistes !
Qu'est-ce que le phishing ?
Il s'agit d'emails qui cherchent à tromper votre vigilance en vous faisant croire que vous êtes en train de réaliser une action légitime (vous connecter ou télécharger un document de travail) alors qu'il s'agit d'un piège.
Ces messages sont très variés (livraison de colis, réforme administrative, document de notaire, ...) car les pirates essaient de "tomber juste" par rapport à votre vie personnelle ou professionnelle.
Vous attendez un résultat d'examen de santé, une contravention, un virement bancaire... Tous les sujets sont utilisés par les pirates pour vous piéger.
Pourquoi et comment a été mené l'audit ?
Un exercice d'envoi d'emails de phishing éducatifs a été fait la semaine du 17 novembre 2025 à destination du personnel et des étudiants en conditions réelles.
Les objectifs sont de :
- Connaitre notre niveau de risque et son évolution dans le temps
- Expliquer à l'utilisateur pourquoi il a cliqué sur le mail de phishing et comment éviter que ça se reproduise
- Apprendre à déjouer les pièges de plus en plus sophistiqués
Exemple de message de phishing reçu la semaine du 17 novembre envoyé avec le faux mail nouveau-document@ouitransfer.net
Un clic sur le lien contenu dans le mail de phishing a alors envoyé l'utilisateur vers une page de sensibilisation contenant environ 8 slides à faire défiler qui expliquent quels éléments auraient dû l'empêcher de cliquer.
Chaque sensibilisation commencée doit être terminée, sinon des rappels réguliers sont envoyés à l'utilisateur.
Premier écran de sensibilisation suite à un clic sur un email de phishing éducatif
4ᵉ slide de sensibilisation
Les résultats de l'audit
| Résultats | |
| Personnels (protégés par antispam avancé) |
Étudiants (protégés par antispam simple) |
|
8 366 utilisateurs |
60 880 utilisateurs |
|
19 644 emails envoyés |
112 755 emails envoyés |
|
631 emails cliqués (605 utilisateurs) |
10 536 emails cliqués (9 746 utilisateurs) |
| Population à risque : 7 % | Population à risque : 16% |
Cet exercice a mis en évidence le constat suivant : nous ne pouvons pas nous reposer uniquement sur des moyens techniques pour nous protéger (même avec un antispam avancé, des utilisateurs ont cliqué !). La sensibilisation et la vigilance de tous est essentielle !
Et ensuite ?
De plus, les envois de phishing vont continuer tout au long de l'année et seront de mieux en mieux faits pour nous entrainer à nous améliorer (les pirates améliorent leurs attaques chaque jour!). Si vous cliquez, vous devrez suivre la mini formation de sensibilisation.
Des emails d'invitation pour suivre volontairement des modules e-learning de sensibilisation vont être envoyés à tous :
Un jour, un conseil SSI
La vérification se fait en 3 étapes simples et rapides que vous êtes bien sur le site sécurisé et légitime cas.univ-lyon1.fr :
- Je vérifie que cas.univ-lyon1.fr est bien écrit dans la barre d'adresse et je clique sur l'icône à gauche
- Je vérifie que cas.univ-lyon1.fr est bien écrit dans la petite fenêtre qui s'est ouverte
- Je vérifie que la connexion est bien sécurisée
