Par Philippe Tardif, conseiller en gestion des risques, électricité et systèmes à La Mutuelle des municipalités du Québec

Face à la recrudescence des infections par rançongiciel souvent provoquées par des courriels d’hameçonnage, il est essentiel que votre municipalité mette en place des mesures proactives pour se protéger et augmenter sa sécurité informatique.

Posséder des ordinateurs à jour et dotés des plus récents correctifs disponibles contribue grandement à réduire le risque global d’infection d’une municipalité. Par ailleurs, être vigilant dans la détection des courriels d’hameçonnage et informer vos employés d’être proactif constitue également une étape critique de la protection.

 Voici dix façons de détecter et de gérer une tentative d’hameçonnage par courriel.

  1. Ne vous fiez pas au nom affiché indiquant l’expéditeur du courriel.

Le simple fait qu’apparaisse le nom d’une personne que vous connaissez ou en qui vous avez confiance comme destinataire du message électronique ne signifie pas que c’est vraiment le cas. Assurez-vous de bien examiner l’adresse courriel pour confirmer le véritable expéditeur.

  1. Regardez, mais ne cliquez sur rien.

Passez la souris sur une partie du courriel sans cliquer sur quoi que ce soit. Si le texte vous semble étranger ou ne correspond pas à ce que dit la description du lien, ne cliquez pas dessus – signalez-le plutôt à votre service de la technologie.

  1. Vérifiez les fautes d’orthographe.

Les attaquants sont souvent moins soucieux de l’orthographe ou de l’exactitude grammaticale qu’un expéditeur normal.

  1. Scrutez la salutation.

L’adresse est-elle générale ou vague? La salutation est-elle adressée à un « client important » ou à Cher [votre prénom]?

  1. Suspectez la demande d’informations personnelles.

Il est peu probable que les entreprises légitimes demandent des informations personnelles par le biais d’un courriel.

  1. Portez une attention à l’urgence.

Ces courriels pourraient essayer de créer un sentiment d’urgence. Par exemple, suspectez les courriels dans lesquels :

  • votre PDG vous demande un virement bancaire, et ce peu importe le montant;
  • un membre de votre famille vous indique qu’il est en difficulté et qu’il a besoin d’argent;
  • une personne demande les 100 dollars nécessaires pour réclamer sa récompense d’un million de dollars, qu’il partagera avec vous.
  1. Vérifiez la signature électronique.

La plupart des expéditeurs légitimes incluront un bloc de signature complet au bas de leurs courriels.

  1. Soyez prudent avec les pièces jointes.

Les attaquants aiment vous piéger avec une pièce jointe alléchante. Elle porte souvent un nom plus long que ceux habituellement utilisés. Elle peut aussi arborer une fausse icône d’un logiciel connu comme Excel ou Word.

  1. Ne croyez pas tout ce que vous voyez.

Si quelque chose semble légèrement en dehors de la norme, mieux vaut prévenir que guérir. Ainsi, si vous détectez quelque chose de suspect, il vaut mieux le signaler à votre service de la technologie.

  1. En cas de doute, contactez un spécialiste en informatique.

Peu importe l’heure et le problème, la plupart des fournisseurs en technologie préfèrent que vous signaliez quelque chose qui s’avère légitime plutôt que de mettre votre municipalité en danger.

Pour de plus amples informations sur les meilleures pratiques en cybersécurité, nous vous invitons à visiter la section correspondante dans notre Guide des meilleures pratiques en gestion des risques ou à contacter notre Service de la gestion des risques. Nous vous rappelons également qu’il est important de vous doter d’une protection complète et adaptée pour faire face aux cyberrisques, nous vous encourageons à vous informer auprès de votre courtier sur notre Assurance des cyberrisques.