Comment une simulation de vishing a transformé la culture cybersécurité du département du Cher
Interview réalisée avec Aurélien LALEVEE, RSSI du département du Cher.
Objectif : tester la vigilance face au vishing… et montrer que « ça n’arrive pas qu’aux autres ».
Lorsqu’on lui demande pourquoi lancer une campagne de simulation, Aurélien est clair :
« Notre objectif principal était de tester la vigilance de nos collaborateurs face à une tentative de Vishing (appel frauduleux), en particulier un scénario de Faux Ordre de Virement International (FOVI). »
Aurélien LALEVEE, RSSI du département du Cher
L’idée : évaluer la capacité des équipes à reconnaître une tentative d’ingénierie sociale par téléphone et par email, et surtout vérifier qu’elles adoptent les bons réflexes.
Mais derrière cet objectif opérationnel, il y avait aussi un message à faire passer : les attaques ne visent pas que les autres, et il est beaucoup plus simple qu’on ne le croit de piéger quelqu’un au téléphone.
Mise en scène : un faux agent, un numéro usurpé, et un scénario très crédible
Pour déployer l’exercice, le département s’est appuyé sur la solution de Hucency (“Avant de Cliquer” au moment du lancement).
Le scénario était simple sur le papier, mais redoutablement réaliste.
Un faux agent, présenté comme un nouveau collaborateur du service exécution budgétaire, appelait des agents ciblés pour leur demander de mettre à jour un RIB via un lien envoyé par email, utilisant un domaine quasi identique au domaine officiel.
« Le scénario était réaliste car nous avions usurpé un numéro de téléphone du service exécution budgétaire, mais sans conséquences techniques : aucun changement réel n’était effectué. »
Aurelien LALEVEE, RSSI du département du Cher
Cette mise en situation s’inscrivait dans un processus existant dans l’organisation, ce qui renforçait la crédibilité de l’appel.
Un point clé du projet : le soutien sans faille de la Direction, et en particulier de la Directrice Financière, qui a permis de lever tous les freins.
Pendant l’exercice : stress, méfiance… et quelques clics
La simulation s’est déroulée sur 4 jours, un jour de moins que prévu. Très vite, des comportements contrastés apparaissent :
- Certains collaborateurs détectent immédiatement l’arnaque et raccrochent ;
- D’autres poursuivent la conversation et finissent par cliquer sur le lien.
Un enseignement marquant :
« Statistiquement, les premiers joueurs sont ceux qui se sont fait avoir le plus facilement. Ensuite, le bouche-à-oreille et la communication réalisée en autonomie ont fait monter le niveau de vigilance. »
Aurelien LALEVEE, RSSI du département du Cher
À mesure que la rumeur interne circulait, les équipes devenaient plus méfiantes, plus attentives.
Après l’exercice : prise de conscience et discussions spontanées
L’exercice a provoqué de nombreuses discussions spontanées au sein des équipes.
La prise de conscience a été immédiate : oui, même un scénario simple peut paraître crédible, surtout lorsque celui-ci joue sur les codes internes.
Certaines réactions ont été fortes : des agents stressés, persuadés d’avoir commis une erreur réelle, et qu’il a fallu rassurer… sans dévoiler trop tôt qu’il s’agissait d’un test.
La direction a salué cette initiative qui a mis en lumière des axes d’amélioration en matière de formation et de vigilance.
Les enseignements : rien ne remplace la formation, le réel, et l’humain
Ce qui ressort de cette expérience ? Que la sensibilisation n’est jamais acquise.
« L’exercice a montré que même des scénarios simples peuvent piéger des utilisateurs si le contexte semble crédible. Il a également montré que ce genre d’exercice n’est pas impossible à mettre en œuvre malgré les craintes sur les risques psychosociaux. »
Aurelien LALEVEE, RSSI du département du Cher
Un point clé : expliquer le test en présentiel, avec transparence et un peu d’humour, permet d’en faire un moment pédagogique plutôt qu’une source de stress.
Hucency : une collaboration “professionnelle, réactive et pédagogique”
Comment résumer le partenariat avec Hucency ? Le responsable du projet ne mâche pas ses mots :
« Hucency a su adapter le scénario à nos contraintes techniques et juridiques, tout en garantissant un haut niveau de réalisme. Les appels ont été très réalistes jusqu’à la mise en scène d’une ambiance sonore. »
Aurelien LALEVEE, RSSI du département du Cher
Déjà satisfait des campagnes sur le phishing et l’USB dropping (hameçonnage par clé USB), le choix de renouveler la collaboration s’est fait naturellement.
« Aujourd’hui, je les choisirais pour leur expertise en ingénierie sociale, leur capacité à créer des scénarios réalistes et leur approche pédagogique. Leur solution permet de mesurer concrètement les réactions des utilisateurs.»
Aurelien LALEVEE, RSSI du département du Cher
Un conseil aux DSI et RSSI ?
« Osez franchir le pas. Ces simulations sont des révélateurs puissants de comportements à risque. Elles permettent d’initier des discussions concrètes et d’améliorer les pratiques internes.»
Aurelien LALEVEE, RSSI du département du Cher
Et la suite ?
Le département ne compte pas s’arrêter là.
De nouvelles campagnes simulées sont déjà lancées : phishing, smishing (attaques par SMS), et d’autres scénarios variés, pour continuer à renforcer la culture cybersécurité.
