Direction des ressources informationnelles
—
En 2026, l’hameçonnage reste l’une des principales portes d’entrée de la cybercriminalité, et un outil donnant accès aux données sensibles des organisations. Cette technique de fraude très commune trompe les utilisateurs et utilisatrices en leur envoyant souvent un faux courriel et en demandant d’effectuer rapidement une action afin de divulguer des renseignements confidentiels (mots de passe, numéro de carte de crédit) ou en invitant à cliquer sur un lien frauduleux. Le CCSMTL n’est pas épargné par cette menace. Vos données, celles de vos collègues ou les données de l’organisation sont précieuses et doivent donc être protégées.
Pour augmenter la vigilance des membres du personnel, Santé Québec a procédé au mois de mars dernier a une simulation de tentative d’hameçonnage. Ce « test surprise » simulait une situation d’hameçonnage en invitant les employés à cliquer sur un lien frauduleux sur lequel ils ne devraient pas cliquer. L’objectif est simple : observer la proportion des membres du personnel qui pourraient se faire berner dans le cas d’une vraie tentative de fraude.
Les résultats pour l’ensemble du réseau varient grandement d’un établissement à l’autre et le CCSMTL ne se retrouve malheureusement pas au sommet du classement. La rédaction s’est alors posé la question : est-ce que nos données sont à risque au CCSMTL?
Entrevue avec Pondin Lacina Koulibaly, Conseiller senior en gouvernance de la sécurité de l’information au CCSMTL.
Pourquoi Santé Québec effectue des simulations d’hameçonnages?
« Les simulations d’hameçonnage permettent de tester concrètement la vigilance du personnel face aux cybermenaces. Elles servent à identifier les faiblesses, sensibiliser le personnel et améliorer les réflexes de sécurité dans un contexte sans risque réel. L’objectif est de renforcer la posture globale de cybersécurité de l’organisation. »
Comment expliquez-vous que des gens se fassent prendre, encore en 2026?
« Même en 2026, les cybercriminels et cybercriminelles utilisent des techniques de plus en plus sophistiquées et réalistes. Le facteur humain demeure le maillon le plus vulnérable : stress, surcharge de travail, automatisme ou manque d’attention peuvent mener à des erreurs. De plus, les attaques sont souvent conçues pour exploiter l’urgence ou la confiance. »
Existe-t-il des catégories de membres du personnel plus à risque de se faire prendre?
« Oui, certains profils sont plus exposés, notamment les personnes recevant un grand volume de courriels, celles ayant accès à des données sensibles ou les nouveaux membres du personnel moins familiarisés avec les pratiques de sécurité. Toutefois, personne n’est à l’abri : le risque concerne l’ensemble du personnel. »
Comment reconnaître une tentative d’hameçonnage?
« Une tentative d’hameçonnage présente souvent des signes comme une adresse d’expéditeur suspecte, des fautes, un ton urgent ou menaçant, des liens douteux ou des pièces jointes inattendues. Il faut également se méfier des demandes inhabituelles d’informations confidentielles ou d’actions rapides. »
Quels sont les bons gestes à adopter pour ne pas se faire prendre?
« Il est essentiel de vérifier l’expéditeur, de ne pas cliquer impulsivement sur les liens, de ne jamais partager d’informations sensibles par courriel et de signaler tout message suspect au Centre de service informatique (CSI). Prendre quelques secondes pour valider peut éviter des incidents majeurs. »
Est-ce que la vigilance des membres du personnel est essentielle pour assurer la cybersécurité de l’organisation?
« Absolument, la technologie seule ne suffit pas à bloquer toutes les menaces. La vigilance des membres du personnel constitue une ligne de défense cruciale. Chacun et chacune joue un rôle clé dans la protection des systèmes et des données, particulièrement dans un environnement critique comme le secteur de la santé. »
