Comment lutter contre les attaques de phishing en entreprise ?

Le phishing ou hameçonnage est une technique utilisée par les pirates informatiques pour obtenir des informations ou données personnelles en usurpant l’identité d’un interlocuteur, d’un organisme connu ou d’une société. Reposant sur la confiance de l’utilisateur envers l’expéditeur, elle est particulièrement dangereuse pour les entreprises. Et la sensibilisation des collaborateurs devient un véritable enjeu pour la protection de vos données personnelles d’entreprise…

Quelle est la particularité du phishing en entreprise ?

Une enquête récente (janvier 2023) réalisée par OpinionWay pour Cesin montre que le contexte en matière de cybercriminalité reste très menaçant pour les professionnels. C’est de loin la technique de menace la plus pratiquée par les attaquants.

En effet, 45 % des entreprises ont été victimes d’une cyberattaque en 2022. Et 74 % d’entre elles ont été victimes plus spécifiquement d’une attaque par phishing.

Comment ça marche ? Le principe est simple. Il repose sur une usurpation d’identité. L’utilisateur reçoit un premier message l’invitant à se connecter à un compte d’un organisme ou d’une entreprise. Cela peut être un compte bancaire, un service d’impôt, un commerce en ligne connu ou encore un réseau social.

Ce message l’invite à rentrer ses codes personnels, ses identifiants ou son numéro de compte. Une fois ces informations récupérées, l’attaquant utilise alors le compte de l’utilisateur à sa place. Ces informations peuvent également être revendues par les cybercriminels à d’autres escrocs pour mener diverses actions frauduleuses.

À noter que le piratage de compte est en forte croissance en France avec une augmentation de 97,5 % en 2022 par rapport à 2021¹.

Lire aussi : Protection des données ou cyber-résilience ?

Smishing, la version mobile du phishing

Mais la tendance qui explose selon les divers observateurs et en particulier le site cybermalveillance.gouv.fr, ce sont les attaques par SMS. On appelle cela du smishing, contraction de SMS et de phishing. Pour Terranova Security, 3,5 milliards de messages frauduleux par jour ont été reçus dans le monde en 2022.

Or ce type d’attaque est encore peu identifié par les victimes comme un risque potentiel. En effet, l’étude menée par Terranova Security avec IPSOS au mois d’octobre 2022 révélait que seulement 8 % des Français citaient les SMS comme une source de risques d’arnaques.

Quels sont les risques de phishing ?

Du fait de la visibilité plus accrue des comptes de réseaux sociaux professionnels, les pirates informatiques en profitent pour faire de l’ingénierie sociale. Ils repèrent les salariés et cibles potentielles plus facilement. Les fraudes au président, qui consistent à se faire passer pour le président de la société mère ou du groupe afin d’obtenir des informations, sont monnaie courante.

C’est pourquoi les risques encourus pour les entreprises sont importants et concernent plusieurs plans de l’activité.

Mail frauduleux : le ralentissement du business 

Selon OpinionWay, la première incidence concerne la perturbation de l’activité (24 % des attaques). En effet, une attaque par phishing ou hameçonnage peut affecter votre système de sécurité et mettre en péril le bon fonctionnement de vos solutions logicielles et de vos missions en cours. Elle pourrait aussi affecter votre relation client et avoir une incidence sur l’image de votre entreprise.

Phishing informatique : le vol d’informations et de données 

La perte des données confidentielles est le second risque auquel vous êtes exposé en tant qu’entreprise (14 %). En vous envoyant des liens malveillants, le hacker accède à vos informations critiques et en prend le contrôle. Il a donc tout le loisir d’accéder aux données de l’entreprise, aux contacts des clients et aux informations liées aux comptes bancaires. Et vous ? Vous n’avez plus accès à aucune donnée !

Phishing bancaire : les pertes financières 

En accédant directement à vos comptes bancaires par exemple, les pirates informatiques peuvent effectuer des paiements et bloquer vos propres accès à votre établissement bancaire.

Tentative de phishing : 7 signes pour vous alerter d’un e-mail ou d’un SMS frauduleux 

Le premier rempart contre le phishing ou smishing reste l’utilisateur lui-même. C’est pourquoi la sensibilisation de vos collaborateurs est une étape importante dans la sécurisation de votre activité. Voici quelques exemples de cas où la vigilance doit être maximale :

1. Le sujet ou l’expéditeur est hors contexte : demandes d’informations confidentielles, document non attendu, information décalée par rapport à l’activité de votre entreprise, etc.
2. La formulation est étrange : grammaire approximative, erreurs d’orthographe ou de ponctuation.
3. Le nom de domaine de l’émetteur semble falsifié avec une orthographe proche d’un nom de domaine réel.
4. Un lien trompeur (en survolant le lien, on peut se rendre compte que cela ne correspond pas au nom du lien qui est décrit).
5. L’adresse e-mail de l’expéditeur ou l’adresse de la page sur laquelle on vous demande de vous rendre ne correspondent pas au modèle officiel habituellement utilisé.
6. L’objet de l’e-mail ou du SMS évoque une perte de données clients, de coordonnées bancaires, une menace d’une interruption de service, un remboursement d’un trop perçu, un impayé à régler, un problème de livraison, etc.
7. Une notion d’urgence vous incite à agir vite.

Protéger son entreprise des attaques par phishing ou hameçonnage 

La première des protections reste la formation de vos collaborateurs. Il est recommandé d’organiser des ateliers de sensibilisation pour présenter les principales méthodes utilisées par les pirates informatiques. Recenser les types de messages frauduleux vous permettra également de leur transmettre une liste de points de vigilance.

Le second levier pour une meilleure sécurisation de vos données professionnelles est la mise en place d’une Authentification Multi-Facteur (MFA) sur vos différents accès. Concrètement, il s’agit de faire confirmer la connexion en ajoutant une couche de protection au processus. Pour accéder à vos comptes ou à vos applications, les utilisateurs doivent confirmer leur identité, en scannant leur empreinte ou en entrant un code reçu par téléphone par exemple.

Anticiper et agir face au phishing pour sécuriser vos données

Pour aller un peu plus loin dans la sécurité en général, vous pouvez également décourager vos collaborateurs de se connecter à leur messagerie à partir de réseaux WiFi publics. Ceux-ci présentent un risque accru de récupération des données. Le chiffrement des e-mails peut être aussi une bonne option pour s’assurer que les seules personnes autorisées à consulter le message sont l’expéditeur et le destinataire. Pour cela, des logiciels de chiffrement existent et sont faciles à mettre en place.

Par ailleurs, il est toujours important de signaler toutes tentatives de spams à signal spam. S’il s’agit d’un SMS, vous pouvez le transférer au 33700 (plateforme multi-opérateurs). Et bien entendu, il est recommandé de ne jamais utiliser le même login/mot de passe pour différentes applications et de bien étudier tous les messages qui vous inciteraient à rentrer un code ou une information qui vous semble confidentielle.

Réagir en cas de phishing avéré 

Enfin, si jamais votre entreprise constate une attaque et que le phishing ou hameçonnage est confirmé, il est important de réagir très vite :

• Changer les mots de passe des comptes concernés.
• Vérifier les paramétrages de ses boîtes e-mails.
• Mettre à jour son antivirus.
• Réinitialiser votre téléphone mobile s’il s’agit d’un SMS de phishing.

Mais n’oubliez pas, votre premier rempart reste la vigilance de vos équipes. Plus de sensibilisation, plus de formation et une mise à jour des recommandations, telles sont les principales actions à mettre en place rapidement pour vous protéger des menaces de plus en plus fréquentes opérées par les cyber-attaquants !

Lire aussi : Cyberattaque : le guide complet pour se prémunir en entreprise

Source :

¹ www.cybermalveillance.gouv.fr