Dans le cadre de son programme de sensibilisation, le Conseil départemental de Mayotte a lancé une Journée Cybersécurité pour aider ses agents à mieux repérer les menaces qui circulent dans leur quotidien numérique. L’idée était de permettre aux participants de sortir du discours technique en passant par des ateliers ludiques.
Un « escape game » pour révéler les erreurs du quotidien
Le premier atelier, animé par Boris Niess, manager d’Orange Cyberdéfense dans l’océan Indien, a pris la forme d’un « escape game ». Les agents se sont retrouvés dans un rôle d’espion chargé de récupérer un vaccin volé. La progression dans le jeu ne se faisait pas en résolvant des énigmes classiques, mais en exploitant des erreurs que tout le monde fait, que ce soit dans le cadre professionnel ou personnel, telles que : les post-it avec le mot de passe inscrit dessus collé à l’ordinateur du bureau, les codes pin simples ou encore les informations stockées au mauvais endroit. « On veut que les agents se rendent compte qu’ils font tous les mêmes erreurs, et que ce sont ces petites habitudes-là qui ouvrent la porte aux attaques », explique l’intervenant.
Dans ce parcours, les participants ont aussi pu découvrir que les pirates ont la possibilité de récupérer énormément d’informations personnelles à travers les réseaux sociaux qu’ils peuvent ensuite réutiliser contre les usagers. Mais également, qu’une simple clé USB trouvée peut suffire pour ouvrir un accès à distance… une technique surtout utilisée par les pirates contre les entreprises ou institutions. Plusieurs questions ont fusé pendant cette session : la reconnaissance faciale est-elle vraiment sûre ? Ou encore comment repérer un mail frauduleux devenu hyper crédible ?
Plongée dans les arnaques numériques
Lors de la deuxième séance, l’intervenant a commencé par expliquer au public ce qu’étaient les mails de phishing, à quoi ils ressemblaient et comment les détecter. Il a insisté sur le fait que la première chose à vérifier était l’adresse de l’expéditeur, car les hackers ne peuvent pas reproduire exactement l’adresse mail d’une institution. L’expert a rappelé qu’il ne fallait jamais cliquer sur les liens contenus dans ces mails et qu’il fallait également observer les titres des pièces jointes, souvent porteurs d’indices. Dans une deuxième partie, l’animateur a réalisé une démonstration de piratage : à gauche, l’écran de la victime, à droite celui du pirate. En quelques clics, grâce à un simple document, il a réussi à ouvrir une connexion silencieuse.
Il a également expliqué que les hackers suivent des modes. En ce moment, c’est la mode des SMS de contraventions ou des colis fictifs : un message vous demandant de payer une amende ou un supplément pour un colis. D’après lui, ces attaques sont souvent menées par des groupes de hackers situés en Russie, en Chine ou aux États-Unis, ou encore en Afrique, mais de ce côté-là, c’est plus des arnaques sentimentales visant des personnes isolées pour leur soutirer de l’argent, comme l’ont montré de nombreux cas cette année.
Acquérir une culture cyber : un enjeu pour le Département
Un troisième atelier, style « Questions pour un champion », a permis d’aborder des outils comme les VPN, les gestionnaires de mots de passe ou les bonnes habitudes de sauvegarde. Grâce à des buzzers les participants pouvaient prendre la parole et donner leurs réponses, bonnes ou mauvaises, elles étaient suivies d’explications et de conseils.
Pour Fahari Said Omar, Directeur du numérique et des systèmes d’information au Conseil départemental, il était important de mettre en place cette formation. « Les agents doivent avoir une vraie culture cyber car maintenant tout va être numérisé », a-t-il indiqué. Il a aussi tenu à rappeler que même les documents papiers, mal jetés, peuvent finir entre de mauvaises mains et que même si le Département n’a jamais fait face à ce genre de cas, les agents doivent apprendre à les éviter au maximum. « Un mot de passe volé peut ouvrir beaucoup de portes et c’est dangereux pour une institution comme la nôtre », a insisté le directeur, tout en soulignant que le Conseil départemental se prépare sérieusement à ces risques.
Du côté des participants, les avis sont très positifs, Dirati Youssouf, agent au Service communication, dit avoir réalisé l’ampleur des risques. « Il m’est déjà arrivé de cliquer sans faire attention. Là, je vois que je dois redoubler de vigilance ». Une autre participante, déjà victime de smishing, raconte qu’elle continue d’en subir les conséquences. « J’ai cliqué sur un lien puis je me suis rendue compte que quelqu’un fouillait ma boite mail, j’ai changé de téléphone et là je décharge ma boite mail petit à petit vers une autre adresse mail, mais c’est compliqué car je l’utilise depuis plusieurs années ». Elle confie avoir été surprise de voir combien d’entre eux utilisent encore des codes évidents : « On se reconnaît tous dans ces erreurs-là ».
Shanyce MATHIAS ALI
