Afin de sensibiliser les utilisatrices et utilisateurs aux questions de cybersécurité, la Direction IT a mis en œuvre une campagne de simulation de phishing à grande échelle, entre octobre 2024 et janvier 2025. Ce projet, annoncé dans le webzine Alma & Georges en octobre 2024, a concerné tous les membres de la communauté universitaire.  

Durant la campagne, la Direction IT (DIT) a acheminé approximativement 56 000 courriels de « faux » phishing aux étudiant·e·s et aux employé·e·s. Les scénarios étaient variés : il était question d'une notification d'expiration de mot de passe Microsoft, d'une invitation à un événement ou encore d’un courriel falsifié en lien avec le produit SharePoint. Les résultats de cette campagne révèlent que notre communauté universitaire affiche un niveau de vigilance comparable à celui d'autres institutions académiques suisses.

Reporter les courriels suspects
Le projet a été très bien accueilli par la communauté, qui a évalué la campagne avec une note de 4,3 sur 5. Ceci démontre aussi une prise de conscience réjouissante de l’importance de la cybersécurité. Les taux de clics observés confirment cependant que la vigilance doit être améliorée afin de mieux encore protéger l’Université et ses données contre une attaque réussie.

Face aux menaces croissantes de phishing, la Direction IT rappelle quelques pratiques essentielles. En cas de doute sur un courriel, il est crucial de ne pas cliquer sur les liens ou pièces jointes suspects. Le Service Desk reste votre premier point de contact pour toute question relative à la sécurité informatique. Pour signaler un courriel suspect, utilisez le bouton « Report Phish » intégré à Outlook (clients web et client standard), un outil simple et efficace pour protéger notre Institution.

Vérifier l'adresse de l'expéditeur
Une astuce précieuse pour détecter les tentatives de phishing consiste à vérifier attentivement l'adresse de l'expéditeur, particulièrement pour les messages demandant des actions urgentes ou des informations sensibles. Les cybercriminels excellent dans l'art d'imiter les communications officielles, toutefois des détails comme des fautes d'orthographe, une mise en page approximative ou des demandes inhabituelles peuvent trahir leurs intentions malveillantes.

Pour donner suite au succès de cette première campagne, la Direction IT prévoit de nouvelles actions pour l'automne prochain, telles que des tutoriels vidéo et des éléments de gamification pour rendre l’apprentissage plus participatif. La sécurité informatique est la responsabilité de toutes et tous et chaque membre de notre communauté a un rôle à jouer dans la protection de nos données.