Explosion du Phishing au Canada

Le maillon le plus vulnérable en cybersécurité: l’humain

• Nous constatons qu’en 2025, les cybercriminels ciblent plus les individus que des systèmes avec des campagne de phishing de plus en plus crédibles, personnalisées et localisées et l’exploitation de la psychologie humaine pour l’arnaque

Problématique: De nos jours, le phishing (l’hameçonnage) représente plus de 70% des vecteurs d’attaques au Canada (source: CCC / Centre Canadien pour la Cybersécurité).

Hausse préoccupante des phishing

• Quelques chiffres récents:
  • Plus de 47% d’attaques de phishing signalées en 2024 par rapport à 2022
  • Secteurs les plus ciblés: Santé, éducation, municipalités, PME
  • Plus de 90% des incidents dûs à la compromission des courriels professionnels débutent par des simples courriels de phishing
  • Les campagnes de phishing visent de plus en plus le Québec et les organismes publics locaux

Les raisons du fonctionnement du Phishing

1. L’ingénierie sociale
   • Les attaques sont de nos jours contextuelles et personnalisées (Exemple: Faux avis de postes Canada, Faux courriel de la Direction, ou fausse convocation des RH)
2. Le contexte post-pandemie
   • Avec le télétravail, la surcharge informationnelle, la gestion par e-mail, les gens cliquent plus vite, valident moins.
3. L’erreur humaine reste imprévisible
   • Malgré une formation annuelle faite, un collaborateur fatigué peut cliquer au mauvais moment. Aucun outil technique ne peut prévenir 100% des erreurs de jugement.

Étude de Cas réel, fictif mais probable

En Mars 2024, une PME à LAVAL a reçu un courriel semblant provenant de son fournisseur d’équipements. Une employée en comptabilité a cliqué sur un lien menant à une page de connexion frauduleuse, puis a saisi ses identifiants. En 48h, les cyber criminels ont:

• Accédé à la messagerie interne
• Modifier des coordonnées bancaires sur des factures PDF
• Fait virer 74 000$ à un compte étranger

Conséquence: Les choc fut autant financier que psychologique car l’entreprise n’était pas couverte par une cyber assurance, ni dotée d’un plan de réponse à incident.

Recommandations clés

1. Former Autrement:
   • Des simulations de phishing interactives (abandonné des formations powerpoints)
   • Une culture d’erreur positive (ne pas blâmer mais apprendre)
   • Des rappels fréquents, concrets, adaptés aux rôles
2. Activer les bons outils:
   • Authentification Multifacteur (MFA)
   • Filtres anti-phishing avancés (IA / Contextualisation)
   • Ségrégation des privilèges pour éviter la propagation
3. Réagir vite:
   • Procédures d’alerte internes en un clic
   • Liste de contacts incident pr^te (TI, Juridique, CyberConseiller)
   • Tests réguliers du plan de réponse aux incidents

La cybersécurité n’est pas seulement une affaire d’usage des outils de sécurité (Pare-feu et autres) mais c’est également un enjeu humain, culturel et organisationnel.

Les 5 Reflexes pour éviter un courriel piégé

1. Vérifier scrupuleusement l’expéditeur
   • Observer minutieusement les noms affichés et l’adresse complète
2. Être méfiant envers l’urgence ou la peur
   • Exemple: ‘’Votre compte sera suspendu dans 24h’’
     • ‘’Action requise immédiatement’’
     • NB: Les fraudeurs veulent vous forcer à agir vite. Il est conseillé de prendre 10 secondes pour respirer et vérifier.
3. Ne jamais cliquer sur un lien sans survoler d’abord
   • Vérifier les liens pour voir l’URL réelle
     • Des URLs longues, bizarres ou déformées = drapeau rouge.
     • Exemple: www,banque-canada.net.secure-login.ru
4. Se méfier des pièces jointes inattendues
   • Surtout les *.zip, *.exe, *.iso, *.html
     • Même un fichier Word ou PDF peut contenir une macro malveillante.
     • NB: Vérifier avec l’expéditeur par un autre canal (Exemple: Téléphone)
5. Se fier à l’instinct et signaler
   • Si quelque chose semble anormale, vérifier et signaler
     • Éviter de cliquer et de répondre
     • Signaler le message au service TI ou au responsable des la sécurité

Important: toujours activer le MFA sur tous les comptes et garder les logiciels à jour car cela peut être considéré comme la première ligne de blocage des attaques

Les bons réflexes anti-hameçonnage

1. Vérifier toujours l’expéditeur
2. Prendre 10 secondes avec toute action de clic
3. Passer en revue les liens avant de cliquer
4. Ne rien télécharger d’inattendu
5. Signaler tout message suspect

Bon réflexe: Marquer un temps d’arrêt – Réfléchir – Vérifier – Signaler