Sensibilisation à l’hameçonnage: CIUSSS de l'Est-de-l'Île-de-Montréal

CAMPAGNE D’HAMEÇONNAGE – SANTÉ QUÉBEC

Dans le cadre de la dernière campagne d’hameçonnage menée par Santé Québec, une simulation de courriel frauduleux a été réalisée auprès des employés afin de rappeler l’importance de demeurer vigilants face aux messages reçus.

Cette initiative met de l’avant un indice de vigilance visant à renforcer les bonnes pratiques en matière de sécurité de l’information et à soutenir une culture organisationnelle fondée sur la prudence et la responsabilité.

À retenir : chaque geste compte

La vigilance individuelle joue un rôle essentiel dans la protection des renseignements personnels et de santé, la continuité des services ainsi que le maintien de la confiance du public.

L’hameçonnage peut toucher l’ensemble du personnel, peu importe le rôle ou le secteur d’activité. Ensemble, nous contribuons à protéger nos patients, nos données et notre mission organisationnelle.

IMPORTANT

Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes provenant d’un message suspect.
Ne partagez pas le courriel suspect.
Ne fournissez pas votre mot de passe pour donner accès à votre boîte courriel pour visualiser le message suspect.
Voir les instructions ci-dessous pour signaler un courriel.

La formation obligatoire sur l'ENA Cyberdéfense : Les menaces numériques vous aidera à mieux cibler les courriels d'hameçonnage.

Exemple de courriel utilisé lors de la simulation

Pourquoi devons-nous tous rester vigilants ?

L’hameçonnage (phishing) est une technique utilisée par des cybercriminels pour tromper un utilisateur et l’amener à effectuer une action qui peut compromettre la sécurité des systèmes de l’organisation. Cela peut être aussi simple que cliquer sur un lien, ouvrir une pièce jointe ou partager par erreur ses identifiants.Les cybercriminels utilisent ces techniques dans le but de:

Voler vos accès (courriel, VPN, Microsoft 365, applications cliniques, etc.)
Obtenir des renseignements sensibles, comme des données de patients ou d’employés
Installer un logiciel malveillant, comme un rançongiciel
Effectuer une fraude financière ou manipuler un employé
S’introduire dans nos systèmes afin de les perturber ou d’exfiltrer des données

Dans un établissement de santé, les impacts peuvent être majeurs : interruption de services, perte d’accès aux applications, atteinte à la confidentialité et diminution de la confiance du public.

Comment identifier un courriel d’hameçonnage ?

- Adresse de l’expéditeur : Adresse inhabituelle, légèrement modifiée ou sans lien avec l’organisation. Un expéditeur peut aussi apparaître comme « interne », alors que le message provient de l’extérieur (ex. micr0soft.com, santé-quebec-support.com, mention [EXTERNAL]).
- Ton ou contenu inhabituel : Message urgent demandant une action immédiate ou menaçant (ex. compte suspendu, accès bloqué). Le ton peut exercer une pression psychologique et ne pas correspondre aux pratiques habituelles de l’organisation.
- Liens suspects : Hyperlien masqué où le texte semble correct, mais l’URL réelle est différente. Les liens raccourcis ou redirigeant vers un faux portail peuvent également être utilisés (ex. bit.ly).
- Pièces jointes douteuses : Fichier inattendu ou non sollicité, surtout si le contexte est inhabituel. Certains formats peuvent être risqués ou demander d’activer des macros (ex. .zip, .exe, .html, .scr).
- Qualité de la langue : Présence de fautes d’orthographe, de grammaire incohérente ou de tournures inhabituelles. Certains messages présentent aussi des traductions automatiques ou un mélange de langues.
- Demandes inhabituelles : Demande d’informations sensibles (mot de passe, numéro d’employé) ou demande de paiement urgent. Toute demande légitime doit suivre les procédures officielles de l’organisation.
- Signature ou identité incorrecte : Logo flou, ancien ou absent, signature générique ou mention d’un service qui n’existe pas dans l’organisation.
- Mise en page inhabituelle : Incohérences visuelles, icônes manquantes, formatage cassé ou couleurs différentes des communications officielles.
- Comportements techniques suspects : Adresse « Répondre à » différente de l’expéditeur, courriel envoyé à plusieurs destinataires non liés ou envoyé à une heure inhabituelle.

Comment signaler un courriel d’hameçonnage ?

Outlook – Version Web

Utilisez le bouton Signaler dans la barre d’outils et sélectionnez Signaler un hameçonnage.

Application Outlook – Mobile

Ouvrez le message, appuyez sur …, puis choisissez Signaler > Hameçonnage.

Résultats des simulations

Une simulation d’hameçonnage a été réalisée du 17 mars au 4 avril 2025 afin d’évaluer les réflexes de vigilance du personnel et de renforcer la posture de sécurité collective au sein de l’organisation.

Formation (ENA)

L’Environnement numérique d’apprentissage (ENA) est la plateforme qui permet d’accéder aux formations destinées au personnel du RSSS. Disponible sans contrainte de temps et d’espace, elle favorise l’autonomie dans les apprentissages.

Voici quelques formations disponibles :

Cyberdéfense : Les menaces numériques – Cliquez ici
Cybersécurité : mission possible – Cliquez ici
Sensibilisation à l'hameçonnage de masse – Cliquez ici

Support ENA
Courriel : fcp.ena.cemtl@ssss.gouv.qc.ca
Téléphone : 514-251-4000, poste 4158

Quiz

Testez vos connaissances en cybersécurité et vérifiez votre capacité à reconnaître les situations à risque dans l’utilisation des outils numériques.
Ce questionnaire vise à renforcer les bons réflexes en matière de sécurité de l’information, notamment concernant :
- Courriels et l’hameçonnage
- Protection des renseignements
- Gestion des mots de passe et des accès
- Utilisation sécuritaire des équipements et des systèmes

Sélectionnez un niveau pour accéder au questionnaire :