La Caf s'arme de Sarbacane pour contrer le phishing

Après avoir déployé la solution d'e-mailing développée par Sarbacane, la CAF Haute-Garonne espère que la personnalisation de ses courriels évitera les hameçonnages.

La Caisse d'allocations familiales (Caf) est une cible rêvée pour les cybercriminels spécialisés dans le phishing. Près de la moitié des foyers français perçoivent une allocation familiale ou sociale provenant de cet organisme. Une aubaine donc pour lancer une campagne de spam et/ou de phishing : les pirates savent qu'en se faisant passer pour cette administration, ils maximisent leur chance d'obtenir les précieuses données personnelles sensibles. Résultat : la Caf a été victime d'une dizaine d'attaques de hameçonnage par mois, en moyenne, en 2010.

 

Plus inquiétant encore : les méthodes des cyberescrocs sont de plus en plus sophistiquées. Les faux e-mails vont désormais jusqu'à inclure des photocopies de documents authentiques ou des signatures de techniciens.

"Avec un tel degré de personnalisation dans le mail, les allocataires vont se rendre compte qu'il ne peut pas s'agir d'un faux" (Bruno Serraz - Caf Haute-Garonne)

 

Eviter d'être discrédité

Or la Caf communique beaucoup par mail. "Si la réception de nos e-mails commencent à éveiller trop de suspicions et qu'ils courent le risques de ne plus être lus, c'est un danger pour la Caf", explique Bruno Serraz, responsable communication de la CAF Haute-Garonne.

"Ce discrédit nous inquiète et nous a fait réagir" poursuit-il, parlant au nom de la Caf de son département qu'il estime être parmi les plus en "pointe" en matière de communications électroniques. L'agence départementale se sert en effet de divers canaux : Facebook, blog, SMS, mail en plus de lettre par courrier postal.

 

Au moment de repenser sa relation avec les allocataires, "il fallait donc un outil capable d'appréhender cette variété". Le choix se porte sur la solution Sarbacane, jugée "accessible" et avec une finesse d'analyse satisfaisant le cahier des charges.


De plus, la solution a une fonctionnalité qui intéresse la Caf de Haute-Garonne : elle peut pousser la personnalisation des messages à un haut niveau. La Caf de Haute Garonne voit dans cette fonctionnalité un moyen de lutter contre le phishing

 

La personnalisation des courriels contre les cyberescrocs

Afin de personnaliser chaque message, Bruno Serraz demande à sa cellule d'étude de lui fournir des informations sur les allocataires : nom de l'enfant bénéficiant la prestation, date de la dernière visite ou du dernier versement, etc. Autant de données que possède la Caf et que la solution peut importer via un simple fichier csv.

 

sarbacane
Partie d'une capture d'écran qui illustre le fonctionnement des règles de personnalisation dans Sarbacane. © Sarbacane

"Avec un tel degré de personnalisation dans le mail, les allocataires vont se rendre compte qu'il ne peut s'agir d'un faux", explique Bruno Serraz . Ils pourront ainsi éviter de cliquer sur le lien d'un message cachant une tentative de hameçonnage. Cette dernière aura bien plus de mal à rivaliser avec ce  courriel qu'avec un message standardisé. 

Évidemment, il est impératif de protéger le plus possible la base de données de la Caf. Sarbacane a d'ores et déjà une expertise en la matière. L'éditeur assure donc aussi un service de routage professionnel, qui n'a aucune vue sur la base de données.

 

Des résultats déjà probants

Il est pour l'instant prématuré d'en tirer des conclusions, et le responsable met l'accent sur le côté "expérimental" du projet. Il y a néanmoins quelques résultats chiffrés pour mesurer l'impact de la solution, déployée et déjà utilisée depuis plusieurs mois.

Un premier message mail non personnalisé a été envoyé demandant aux étudiants d'actualiser leur situation. Il a permis d'obtenir une centaine de réponse sur les 20 263 attendues. Quelques jours après une nouvelle campagne nettement personnalisée a été émise. 2 400 réponses ont alors été obtenues dès les premières heures d'envoi, pour une moyenne de 500 les jours suivants.

Au total, 12 600 étudiants ont mis à jour leur dossier (65 % de concrétisation), ce qui correspond à un taux plus de 12 fois supérieur à celui de la première demande peu personnalisé.

Spam / Phishing