Un scénario qui peut arriver à tous:
Un matin ordinaire, vous ouvrez votre messagerie professionnelle. Un message attire votre attention : un document officiel serait disponible sur l’ENT. Vous cliquez, saisissez vos identifiants — rien d’inhabituel. Puis les demandes se multiplient, deviennent plus intrusives.
Un doute surgit. Vous revérifiez le mail : l’adresse de l’expéditeur est bizarre, la mise en forme étrange, le nom de l’ENT incomplet. Vous fermez la page immédiatement, mais trop tard : vous avez transmis des informations personnelles à un fraudeur.
En effet, même un seul clic peut entraîner des conséquences immédiates : envoi de mails frauduleux en votre nom, blocage de compte, ou compromission du système d’information.
Que faites-vous ? La majorité des victimes garde le silence. D’après les données du Centre antifraude du Canada, seulement 5 à 10 % des personnes escroquées signalent l’incident [1]. La raison principale : la honte [2].
Les études le confirment : honte, auto-culpabilisation, anxiété et stress sont des réactions quasi universelles chez les victimes de phishing [3] [4]. Mais la seule personne qui devrait avoir honte, c’est le fraudeur. Vous êtes la cible, pas le responsable.
À l’Université de Montpellier, le Responsable de la Sécurité des Systèmes d’Information le rappelle : « Tout le monde peut tomber dans le piège. Les messages frauduleux sont de plus en plus sophistiqués et contournent parfois nos filtres. »
Des attaques conçues pour tromper, pas pour exposer votre naïveté
Les messages de phishing sont aujourd’hui rédigés avec soin, dotés de logos officiels et personnalisés selon votre contexte : renouvellement de contrat, livraison attendue, accès urgent à un document. Ils exploitent des mécanismes psychologiques universels, la confiance, l’autorité, l’urgence, et non une faille propre à vous [5] [6].
Petit rappel : Comment reconnaître un mail de phishing (hameçonnage) ? – numérique
Le silence aggrave le risque pour tous
Garder le silence, c’est laisser l’attaque se propager. Sans signalement, les équipes de sécurité ne peuvent ni bloquer les campagnes en cours, ni protéger les 50 000 membres de la communauté universitaire. Chaque incident non signalé nourrit aussi le mythe que « ça n’arrive qu’aux autres ».
Que faire si vous avez cliqué ?
- Changez immédiatement votre mot de passe sur l’ENT (Mon Dossier > Compte Informatique > Changer votre mot de passe)
- Transférez le mail suspect à
- Contactez la DSIN via le Centre de Services sur l’ENT, ou votre Correspondant Sécurité (CSSI)
Pour tout autre incident de sécurité (compromission de serveur, vol de données) :
À retenir
- Authentifiez-vous uniquement sur https://cas.umontpellier.fr
- En cas de doute sur un mail, transférez-le à avant tout clic
- Un signalement rapide protège toute l’université
Le courage ne consiste pas à ne jamais tomber dans le piège, mais à le signaler dès qu’il se referme.
Références
[1] Direction générale de la GRC. Publication des données sur les signalements d’incidents de fraude du Centre antifraude du Canada, 11 juillet 2023. https://grc.ca/fr/nouvelles/2023/07/publication-donnees-sur-signalements-dincidents-fraude-du-centre-antifraude-du-canada-premiere
[2] Renaud, K., Searle, R., Dupuis, M. Shame in cyber security: effective behavior modification tool or counterproductive foil? NSPW, 2021, pp. 70-87.
[3] Cazanis, A. et al. ‘Falling into a Black Hole’: A Qualitative Exploration of the Lived Experiences of Cyberscam Victim-Survivors. Victims & Offenders, avril 2025. DOI: 10.1080/15564886.2025.2481267
[4] Palassis, A., Speelman, C.P., Pooley, J.A. An exploration of the psychological impact of hacking victimization. Sage Open, vol. 11, no. 4, 2021.
[5] Dhamija, R., Tygar, J.D., Hearst, M. Why phishing works. CHI 2006, ACM, pp. 581-590.
[6] Naidoo, R. Analysing urgency and trust cues exploited in phishing scam designs. ICCWS 2015, pp. 220-229.