Les pirates informatiques sont de plus en plus malins. Leurs stratagèmes, comme les faux courriels, gagnent en finesse et en perfection. Et vous… êtes-vous encore plus malin que les pirates?

En matière de sécurité de l’information, le facteur humain constitue le plus grand risque. C’est pourquoi le Service de sécurité de l’information a mis sur pied une campagne interne de sensibilisation afin de prévenir d’éventuelles cyberattaques.

Ainsi, depuis environ un an, presque tout le monde a reçu un faux courriel dans sa messagerie Outlook. Il s’agissait d’un courriel frauduleux avec des hyperliens à ne surtout pas ouvrir. C’était un piège pour nous apprendre à devenir méfiants. Ces canulars sont la signature de Julie Nadeau, conseillère en sécurité de l’information.

À un clic d’une cyberattaque

« L’objectif de notre équipe : amener les utilisateurs à réfléchir avant d’ouvrir des hyperliens. Parce qu’un clic de trop peut mener à une cyberattaque. Il faut savoir que 94 % de toutes les attaques malveillantes se produisent par courriel.1 Dans un grand établissement comme le nôtre, où circulent beaucoup d’informations confidentielles, ça peut faire des ravages. »

– Julie Nadeau

Julie Nadeau, conseillère en sécurité de l’information préparer les faux courriels afin de sensibiliser la communauté interne sur les cyberattaques.

Julie Nadeau, conseillère en sécurité de l’information

De faux courriels inspirés de cas véritables

 

Julie est responsable de cette démarche importante dans notre organisation. Et elle admet y prendre beaucoup de plaisir! Elle conçoit tous les faux courriels, s’inspirant parfois de cas véritables. Aux moments choisis, elle les fait envoyer aléatoirement à l’interne. Toutes les catégories de personnel et toutes les directions sont visées. Julie mesure en temps réel le taux de clics et voit les pièges les plus efficaces. Ce qui l’aide à préparer ses prochains canulars, précise-t-elle en riant.

Quels sont les courriels qui bernent le plus les utilisateurs? Ceux qui se rapprochent de leur quotidien, dont ceux en lien avec Teams. Ceux qui suscitent un sentiment d’urgence du type « votre compte expirera dans X jours ». Ou encore ceux qui font miroiter la possibilité d’un gain rattaché à des concours ou des prix à remporter. 

 

Des utilisateurs de plus en plus alertes

 

Julie s’amuse beaucoup de la réaction des utilisateurs. Certains prennent la peine de l’aviser qu’ils ont reçu un courriel frauduleux… sans se douter qu’elle en est l’auteure. D’autres, véritablement soucieux, avertissent leurs collègues de faire attention aux courriels en circulation.

En outre, plusieurs personnes sont devenues si vigilantes qu’elles hésitent à ouvrir de « vrais » courriels, convaincues d’actes de pirates. Récemment, le CIUSSS de l’Estrie – CHUS a d’ailleurs dû rassurer la communauté interne sur l’envoi d’un courriel légitime.

 

Une stratégie qui fait ses preuves!

« La campagne se veut instructive. Dès qu’on clique sur le faux lien, un message apparait et nous avise qu’il s’agit d’un courriel d’hameçonnage initié par l’organisation. Ce message souligne aussi les indices qui auraient dû nous mettre la puce à l’oreille. Entre mai 2021 et aujourd’hui, le taux de clics d’ouverture des faux courriels a diminué de plus de 50 %. »

– Julie Nadeau

L’équipe des systèmes d’information du Centre de services de la DRIT2 contribue également à cette campagne de sensibilisation. Elle reçoit les appels d’utilisateurs doutant de la véracité d’un courriel. Au premier canular, elle a reçu 250 appels. Au dernier, en septembre 2022, elle n’en a reçu que 12. Autre signe que les gens savent mieux ce qu’ils doivent faire, ou ne pas faire.

Néanmoins, malgré les efforts du Service de sécurité de l’information et les outils de surveillance technologique, de réels courriels frauduleux réussissent encore à se frayer un chemin jusqu’à nous. Le but ultime : réduire à 0 le nombre de clics d’ouverture des envois douteux.

 

Continuez d’aiguiser vos réflexes

 

Alors, que prépare Julie pour la suite cette campagne? Saurez-vous reconnaître ses prochains faux courriels? Ouvrez l’œil!  Développez vos bons réflexes et apprenez comment signaler les courriels frauduleux!

Pour en savoir plus, et suivre la formation obligatoire Cybersécurité : mission possible, visitez la page Sécurité de l’information de l’intranet.

 

 

 

1 Source : « How Many Cyber Attacks Happen per Day in 2022? »
2 Direction des ressources informationnelles et des technologies