Sécurité de l'information

Les bonnes pratiques : courriel

Les courriels, leurs pièces jointes et leurs liens vers des sites Web illicites font partie des outils privilégiés par les hameçonneurs et les fraudeurs afin de frauder et de réaliser des attaques informatiques. Il est donc impératif de porter une attention particulières aux courriels, pièces jointes, liens vers des sites Web en provenance d'expéditeurs inconnus afin de prévenir l'hammeçonnage et la fraude.

Identité de l'expéditeur

Il est important de vérifier la cohérence entre l'expéditeur présumé et le contenu du message. De même qu'il est important de comprendre que n'importe qui peut se faire passer pour un autre lors de l'envoi d'un courriel (ex. : paie.polymtl@gmail.ca n'est pas une adresse valide pour Polytechnique). Un fraudeur peut même usurper l'adresse courriel d'un expéditeur. En cas de doute, n'hésitez pas à contacter directement l'expéditeur du message en retapant l'adresse directement (sans copier-coller).

Pièces jointes

N’ouvrez pas les pièces jointes provenant des expéditeurs inconnus ou dont le titre et le format paraissent incohérents avec les fichiers que vous recevez habituellement. Si vous doutez de la pièce jointe, veuillez utiliser l’outil de visualisation des pièces jointes d’Outlook. Si la pièce jointe est potentiellement douteuse, Outlook en interdira l’accès ou ne l’affichera pas.

Liens

Parfois un lien peu apparaître adéquat mais cache un lien frauduleux. Si des liens figurent dans un courriel, passez votre souris au-dessus avant de cliquer. Vous verrez le vrai lien, en passant le curseur de votre souris sur le lien :

Ou

Ou

Le lien peut comporter une inversion de lettres difficile à détecter (le l et le t de polymtl) :

Voici un lien adéquat provenant du SI

Le lien est possiblement frauduleux s'il :

  • n'est pas identique au lien affiché
  • le domaine (me.pn fin du lien du site Web) ne correspond pas au domaine attendu (polymtl.ca). Le domaine de Polytechnique est polymtl.ca

Attention
Le lien peut ressembler à s'y méprendre. Parfois, les fraudeurs inverse deux lettres (ex. : polymlt.ca).

Certificat d'un site Web

Si vous accédez à un site Web d'un courriel où vous devez inscrire un identifiant, veuillez vérifier que celui-ci est protégé par un certificat valide (cliquez sur le cadenas).

En cliquant sur le cadenas, vous pouvez vérifier si le site est signé par une autorité de certification valide et si le domaine auquel il a été attribué est aussi valable. Entrust, VeriSign et GlobalSign sont quelques-unes des autorités de certification acceptables.

Dans ce cas-ci, l’autorité est Entrust et le domaine est polymtl.ca. Pour un site de Polytechnique, tout est correct.

Chaîne de lettre

N’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.

Informations personnelles ou confidentielles

Ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : identifiant, date de naissance, numéro d'assurance sociale et numéro de votre carte bancaire). En effet, des courriels circulent aux couleurs d’institutions comme les Impôts pour récupérer vos données. Il s’agit d’attaques par hameçonnage ou « phishing ».

Ouverture automatique

Désactivez l’ouverture automatique des documents téléchargés. Pour les postes installés et supportés par le Service informatique, l'ouverture des pièces jointes et l'affichage des images automatiques sont désactivées.

Vérification du quota

Vérifier le quota de votre boîte POP3

  • Entrer dans votre courriel à l'aide de l'interface IMP/Horde,
  • Valider l'espace utilisé et disponible à droite de l'interface :

Vérifier le quota de votre boîte Zimbra

  • Entrer dans votre courriel à l'aide de l'interface Web Zimbra,
  • Valider l'espace utilisé et disponible à droite de l'interface :
Signaler un courriel indésirable avec Outlook

Signaler un courriel indésirable avec Outlook

  • Positionner le curseur de la souris sur le message
  • Appuyez sur le bouton Signaler.  Le message sera supprimé et le signalement sera envoyé vers notre console de gestion des incidents.

 

Mission

Améliorer la posture de sécurité de l’organisation par :

  • L’augmentation du niveau de maturité de l’organisation en matière de sécurité de l’information;
  • Le respect des exigences gouvernementales;
  • La diminution du niveau de risque relié à la sécurité de l’information.

L’information est un actif important qui permet à l’organisation de réaliser sa mission. Il est primordial de la protéger de façon efficace et efficiente. Pour y parvenir, Polytechnique s’engage à assurer le maintien des 3 propriétés essentielles de l’information tout au long de son cycle de vie à savoir :

  • Sa disponibilité : veiller à rendre l’information accessible et utilisable sur demande par une entité autorisée;
  • Son intégrité : sauvegarder l’exactitude et l’exhaustivité de l’information;
  • Sa confidentialité : veiller à ce que l’information ne soit pas divulguée ou mise à la disposition des entités non autorisées.

<p>&nbsp;</p>

<h2 class="bordure-orange">Mission</h2>

<p>Améliorer la posture de sécurité de l’organisation par&nbsp;:</p>

<ul>
    <li>L’augmentation du niveau de maturité de l’organisation en matière de sécurité de l’information;</li>
    <li>Le respect des exigences gouvernementales;</li>
    <li>La diminution du niveau de risque relié à la sécurité de l’information.</li>
</ul>

<p>L’information est un actif important qui permet à l’organisation de réaliser sa mission. Il est primordial de la protéger de façon efficace et efficiente. Pour y parvenir, Polytechnique s’engage à assurer le maintien des 3 propriétés essentielles de l’information tout au long de son cycle de vie à savoir&nbsp;:</p>

<ul>
    <li>Sa disponibilité&nbsp;: veiller à rendre l’information accessible et utilisable sur demande par une entité autorisée;</li>
    <li>Son intégrité&nbsp;: sauvegarder l’exactitude et l’exhaustivité de l’information;</li>
    <li>Sa confidentialité&nbsp;: veiller à ce que l’information ne soit pas divulguée ou mise à la disposition des entités non autorisées.</li>
</ul>
 

SIGNALER UN INCIDENT DE SÉCURITÉ DE L'INFORMATION

SIGNALER UN INCIDENT DE SÉCURITÉ DE L'INFORMATION

Si vous croyez avoir été témoin ou victime d’un incident de sécurité de l'information, contacter le conseiller principal en sécurité de l'information secinfo@polymtl.ca.

SIGNALER UN INCIDENT DE SÉCURITÉ DE L'INFORMATION

Si vous croyez avoir été témoin ou victime d’un incident de sécurité de l'information, contacter le conseiller principal en sécurité de l'information secinfo@polymtl.ca.

SIGNALER UN INCIDENT DE SÉCURITÉ DE L'INFORMATION

Si vous croyez avoir été témoin ou victime d’un incident de sécurité de l'information, contacter le conseiller principal en sécurité de l'information secinfo@polymtl.ca.