La sécurité technologique – Octobre 2020

Vous le savez sans doute, les fraudes de toutes sortes liées à l’usage de technologies (téléphone, courriel, site web, textos, etc.) sont monnaie courante. Et cela est particulièrement vrai avec la pandémie de Covid-19, pour laquelle plusieurs mesures d’accommodation en matière d’accès à distance ont été mises en oeuvre un peu partout. Ce faisant, cela crée un terreau fertile pour les fraudeurs et les opportunités de confondre les utilisateurs. Nous devons tous être informés, vigilants, proactifs en matière de cybersécurité. En tant qu’employés du cégep de Trois-Rivières (incluant les CCTT) accédant à de l’information stockée sur des infrastructures technologiques, nous sommes chacun à la fois un point faible et la meilleure protection en matière de cybersécurité pour l’organisation. Il est très important que chacun soit sensibilisé aux pièges qui se présentent en situation de travail, à l’identification précoce de ceux-ci, aux risques courus par le collège et aux comportements sécuritaires à adopter en tout temps.

Le collège déploie en continu de nombreuses mesures de sécurité technologique afin de limiter les risques et circonscrire les impacts organisationnels issus des possibles fraudes technologiques. Une surveillance accrue et des approches rapides d’isolation permettent un certain niveau de contrôle même si cela vous apporte à l’occasion, certaines contraintes opérationnelles. Nous en sommes désolés, mais néanmoins convaincus de leur nécessité ; bien qu’en matière de cybersécurité, cela ne sera jamais acquis ni suffisant. Aussi, nous sollicitons votre précieuse et irremplaçable collaboration afin de continuer et améliorer la protection du bien collectif :

  • D’abord par votre compréhension et votre appui sans réserve dans le respect des mesures de mitigation du risque qu’il peut vous arriver de rencontrer au gré de votre travail ;
  • Mais aussi pour vous inciter à une très grande prudence et adopter un comportement spécifiquement mieux adapté vis-à-vis des situations qui sont réputées à risque.

De cette manière, ensemble, en grande cohésion collective vis-à-vis des menaces qui circulent et qui continueront de circuler abondamment, nous devrions produire un renforcement significatif de nos barrières de protection et ainsi maintenir un haut niveau de disponibilité et de stabilité de nos services technologiques. Nous n’inventons pas la roue et nous nous sommes largement inspirés d’informations pertinentes déjà disponibles dans le marché pour produire cette communication. Nous vous invitons donc à prendre connaissance de la communication ci-dessous et de prêter une attention particulière dans vos diverses interactions avec les différents moyens technologiques mis à votre disposition.

Les 5 principales tactiques de fraude

1. L'hameçonnage

L’hameçonnage est un stratagème utilisé par les fraudeurs qui consiste à envoyer massivement des courriels ou des messages textes (SMS) semblant provenir d’une entreprise ou d’un contact légitime. Ces courriels ou messages textes sont utilisés par des personnes mal intentionnées pour voler des informations personnelles ou installer un logiciel malveillant sur l’ordinateur, en incitant la personne à cliquer sur des liens ou à ouvrir des fichiers joints.

ATTENTION, soyez prudent si vous êtes surpris de cette communication (non attendue), dans un langage qui pourrait contenir des erreurs flagrantes (fautes ou traduction erronée), qui contient un lien dont la source peut faire douter ou qui incite à une prise d’action rapide, voire immédiate. On tente par divers moyens de vous placer en état de vulnérabilité (convocation à procès, facture à payer, vol d’identité, résultats de tests médicaux, etc. pour que vous laissiez tomber la prudence avant de prendre action.

Après avoir piraté la boîte de courriel d’un dirigeant de l’organisation ou d’une personne en autorité sur votre prestation de service, le fraudeur communique avec un employé autorisé à faire des virements internationaux. Sous le couvert de l’adresse de courriel du dirigeant, l’escroc demande le transfert d’une somme d’argent dans un compte à l’étranger en prétextant une urgence ou une acquisition importante. Le scénario se construit généralement au fil de plusieurs échanges où le secret est exigé.

ATTENTION, soyez prudent et rappelez-vous qu’il est toujours possible de communiquer directement par téléphone avec la personne pour demander une confirmation de la validité de l’action qui est demandée dans le courriel. Ce scénario d’attaque se construit généralement au fil d’échanges où le secret est requis et/ou l’urgence d’agir dans un délai rapproché est dominante.

Un nouveau « client » achemine un chèque d’un montant trop élevé pour payer les biens ou les services rendus. Il demande ensuite de lui rembourser la somme en trop. On apprendra plus tard que le chèque était frauduleux. Les biens et services, tout comme le remboursement du paiement versé en trop, sont donc perdus.

ATTENTION, soyez prudent et faites plusieurs vérifications manuelles s’il le faut avant d’agir. Rappelez-vous que les délais et les étapes supplémentaires de vérification que cela peut exiger sont de loin des impacts beaucoup moins élevés que la faisabilité et le coût de réparation d’un dommage ainsi causé.

Après avoir piraté la boîte de courriel de l’un des fournisseurs habituels de l’organisation, le fraudeur demande que les paiements à l’attention du fournisseur soient faits dans un nouveau compte. Les paiements ne sont jamais versés au fournisseur légitime.

ATTENTION, soyez prudent et rappelez-vous qu’il est toujours possible de communiquer directement par téléphone avec la personne pour demander une confirmation de la validité de l’action qui est demandée dans le courriel. Dans tout contexte qui vous semble sortir de l’ordinaire même si possible ou vous surprend même un peu, prenez le temps de communiquer par téléphone au numéro que vous connaissez habituellement, pas nécessairement celui qui vous est fourni dans le courriel. Vous reprenez ainsi le contrôle de l’échange initié par le courriel suspect.

Il est facile pour les fraudeurs de copier un site Web pour lui donner l’apparence d’un site légitime. Ces faux sites prétendent être des sites officiels associés à une entreprise, un ministère ou un gouvernement.

ATTENTION, soyez prudent et de valider la composition du lien avant de cliquer dessus peut vous révéler aisément, dans bien des cas, qu’il s’agit d’une fraude. Le lien dans le courriel peut apparaître normal (utiliser un nom légal), mais la composition de ce lien peut révéler une adresse toute autre que celle pointant sur l’entreprise légale. Cela demande un peu de temps et c’est justement dans le comportement humain de facilité de cliquage du lien, que le fraudeur s’infiltre.

 

Recommandations générales à intégrer dans votre interaction avec les technologies de l’organisation

1. Être vigilant

Peu importe la situation, dès que quelque chose semble louche ou inhabituel, signaler le problème au centre d’assistance (4444) et nous vous assisterons. Ne tenez pas pour acquis que nous sommes au courant et insistez sur le caractère prioritaire de ce type de demande.

Le message était-il attendu ou sollicité ; dans le cas contraire adopter une position prudente dès le départ. Dans tous les cas, ne fournissez jamais de renseignements personnels par courriel ou SMS qu’il s’agisse de vos renseignements ou des renseignements d’autres personnes et que cela soit initié par un tiers ou vous-même. Ces moyens perdent de leur intégrité dès que le contenu quitte le réseau du collège (extérieur à @cegeptr.qc.ca) même si vous contact est une autre adresse légitime.

Elle doit être écrite et connue seulement des employés concernés, et ce, pour que le processus soit irréprochable et non imitable parce qu’inconnu sauf des initiés.

Valider tout changement de coordonnées bancaires de vos fournisseurs en communiquant avec eux aux numéros de téléphone déjà inscrits à vos dossiers.

Lire promptement et avec attention toute communication en lien avec la cybersécurité et les bonnes pratiques de sécurité technologique. Se sensibiliser aux stratagèmes de fraude ; à cette fin les réseaux d’information diffusent de plus en plus fréquemment des publicités ou des reportages à cet effet. Ce sont de bons moyens de rester éveillés sur le sujet. Bien suivre et avec diligence toutes les procédures, consignes en lien avec les événements de sécurité technologiques.

Un mot de passe simple peut être trouvé par des pirates informatiques en quelques minutes. Par ailleurs il est fortement recommandé de ne pas utiliser ses identifiants du cégep (ex : courriel@cegeptr.qc.ca) dans des systèmes qui ne sont pas en lien avec le travail. Par surcroît, ne jamais utiliser le même mot de passe que celui du cégep dans des systèmes qui ne sont pas en lien avec le travail.

 
Merci de votre inestimable collaboration afin de nous aider à maintenir un environnement technologique sain et disponible pour toute la communauté du collège.