S'arrêter, réfléchir et vérifier pour prévenir les cyberattaques

Une initiative majeure a été lancée pour prévenir les cyberattaques dans les institutions publiques du Québec.

Si je ne devais dire qu'une chose à mes collègues, ce serait : "Ne cliquez pas sur un lien dans un courriel avant d'avoir réfléchi : Necliquez pas sur un lien dans un courriel avant d'avoir réfléchi", a déclaré François Paradis, directeur du site Technologies & Systèmes d’Information au Collège Dawson.

Le courrier électronique est le premier point d'entrée
Henry Yang, analyste de la sécurité des réseaux, affirme que le courrier électronique est le premier point d'entrée des cyberattaques. Il recommande aux employés d'adopter une approche consistant à "s'arrêter, réfléchir et vérifier" pour éviter de devenir la proie d'attaques .

Les tactiques les plus courantes consistent à faire croire que l'e-mail provient d'un collègue ou à créer un sentiment d'urgence, en suggérant par exemple que l'accès à l'e-mail sera coupé si le destinataire ne clique pas sur un lien permettant de modifier un mot de passe. Si vous n'êtes pas sûr, vous pouvez contacter l'expéditeur par un autre moyen de communication, comme le téléphone.

Dawson a élaboré un plan en 15 points pour prévenir les cyberattaques et l'une des priorités est de former les employés pour qu'ils soient plus conscients des tactiques utilisées par les cybercriminels.

Test d'hameçonnage chez Dawson en décembre dernier
Les individus peuvent jouer un rôle central dans la prévention des cyberattaques, selon la société que Dawson a chargée de former ses employés. En décembre, l'équipe IST a organisé un test pour tous les employés afin d'évaluer le risque de cyberattaques chez Dawson. Environ 17 % des employés de Dawson ont répondu à un faux courriel d'hameçonnage. Ils ont alors été invités à regarder une courte vidéo de formation.

Formation pour tous les employés ce printemps
Dans les semaines à venir, tous les employés seront invités à suivre une courte formation de sensibilisation à la cybercriminalité par l'intermédiaire d'Omnivox. L'objectif est qu'à l'issue de cette formation, un plus grand nombre d'employés soient sensibilisés et moins susceptibles d'être victimes de cyberattaques.

L'une des tactiques les plus populaires est appelée hameçonnage, c'est-à-dire la tentative frauduleuse d'obtenir des informations ou des données sensibles, telles que des noms d'utilisateur, des mots de passe, des numéros de carte de crédit ou d'autres détails, en se faisant passer pour une entité digne de confiance dans le cadre d'une communication numérique.

L'hameçonnage est très répandu parce qu'il est facile à réaliser et très efficace. Parmi les conséquences, on peut citer le cryptage des données d'un individu ou d'une équipe à l'aide d'un ransomware et le vol d'informations d'identification, qui peuvent être utilisées pour accéder à d'autres systèmes ou attirer d'autres victimes.

Autres lectures et ressources sur l'hameçonnage
Pour en savoir plus sur le phishing, François recommande la lecture de ce blog préparé par l'équipe ITS, qui comprend des tests pour déterminer votre niveau de risque : https://www.dawsoncollege.qc.ca/information-systems-and-technology/articles/phishing/

Henry recommande cet article, publié le mois dernier : https://www.cira.ca/blog/cybersecurity/what-is-phishing L'un des faits surprenants de l'article est qu'"un tiers des Canadiens ont subi une attaque d'hameçonnage entre mars et septembre 2020, selon une enquête de Statistique Canada".

Cet article est le deuxième d'une série de D News consacrée à la cybersécurité.