En matière de sécurité de l’information, le facteur humain constitue le plus grand risque. C’est pourquoi le Service de sécurité de l’information a mis sur pied une campagne interne de sensibilisation afin de prévenir d’éventuelles cyberattaques.

Ainsi, depuis environ un an, presque tout le monde a reçu un faux courriel dans sa messagerie Outlook. Il s’agissait d’un courriel frauduleux avec des hyperliens à ne surtout pas ouvrir. C’était un piège pour nous apprendre à devenir méfiants. Ces canulars sont la signature de Julie Nadeau, conseillère en sécurité de l’information.

De faux courriels inspirés de cas véritables

Julie est responsable de cette démarche importante dans notre organisation. Et elle admet y prendre beaucoup de plaisir! Elle conçoit tous les faux courriels, s’inspirant parfois de cas véritables. Aux moments choisis, elle les fait envoyer aléatoirement à l’interne. Toutes les catégories de personnel et toutes les directions sont visées. Julie mesure en temps réel le taux de clics et voit les pièges les plus efficaces. Ce qui l’aide à préparer ses prochains canulars, précise-t-elle en riant.

Quels sont les courriels qui bernent le plus les utilisateurs? Ceux qui se rapprochent de leur quotidien, dont ceux en lien avec Teams. Ceux qui suscitent un sentiment d’urgence du type « votre compte expirera dans X jours ». Ou encore ceux qui font miroiter la possibilité d’un gain rattaché à des concours ou des prix à remporter. 

Des utilisateurs de plus en plus alertes

Julie s’amuse beaucoup de la réaction des utilisateurs. Certains prennent la peine de l’aviser qu’ils ont reçu un courriel frauduleux… sans se douter qu’elle en est l’auteure. D’autres, véritablement soucieux, avertissent leurs collègues de faire attention aux courriels en circulation.

En outre, plusieurs personnes sont devenues si vigilantes qu’elles hésitent à ouvrir de « vrais » courriels, convaincues d’actes de pirates. Récemment, le CIUSSS de l’Estrie – CHUS a d’ailleurs dû rassurer la communauté interne sur l’envoi d’un courriel légitime.

Une stratégie qui fait ses preuves!

L’équipe des systèmes d’information du Centre de services de la DRIT² contribue également à cette campagne de sensibilisation. Elle reçoit les appels d’utilisateurs doutant de la véracité d’un courriel. Au premier canular, elle a reçu 250 appels. Au dernier, en septembre 2022, elle n’en a reçu que 12. Autre signe que les gens savent mieux ce qu’ils doivent faire, ou ne pas faire.

Néanmoins, malgré les efforts du Service de sécurité de l’information et les outils de surveillance technologique, de réels courriels frauduleux réussissent encore à se frayer un chemin jusqu’à nous. Le but ultime : réduire à 0 le nombre de clics d’ouverture des envois douteux.

Continuez d’aiguiser vos réflexes

Alors, que prépare Julie pour la suite cette campagne? Saurez-vous reconnaître ses prochains faux courriels? Ouvrez l’œil!  Développez vos bons réflexes et apprenez comment signaler les courriels frauduleux!

Pour en savoir plus, et suivre la formation obligatoire Cybersécurité : mission possible, visitez la page Sécurité de l’information de l’intranet.

¹ Source : « How Many Cyber Attacks Happen per Day in 2022? »
² Direction des ressources informationnelles et des technologies