Attention au phishing

07/07/2021
Thumbnail [16x6]

La plus utilisée ces derniers temps, l’attaque par phishing ou hameçonnage consiste à obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. Aujourd’hui les équipes de sécurité considèrent les attaques par phishing comme le principal danger non intentionnel de la part « d'initiés » (salariés de l’entreprise).

Le fait que les télétravailleurs soient séparés du reste de l'organisation, accroît encore plus le risque de réussite de ces attaques. Comment procèdent-elles ? Quels sont les ressorts du phishing ? Quelles sont les clés pour s’en prémunir ? Voici tous nos conseils pour passer entre les mailles du filet. 


 

Une tactique vieillissante mais doté de sophistications nouvelles 

L’idée est de vous faire croire que vous vous adressez à un tiers de confiance (une banque, une administration ) pour vous soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie d’une carte d'identité, date de naissance, etc… Vous pouvez même être redirigé vers un site qui est la copie exacte d'un site internet officiel et vous faire, de cette manière, abuser puisque vous serez invité à saisir vos codes personnels, qui seront ensuite récupérés par les hackers pour vous voler. 

L’attaque peut aussi être réalisée par courrier électronique ou d’autres moyens électroniques.

Vous l’aurez compris, le but est de vous duper et il est n’est pas aisé de repérer ce genre d’attaque car les mails d’hameçonnage se distinguent à peine d’un message courant. Même s'il ne s'agit pas là d'une nouvelle tactique, les astuces d'ingénierie sociale utilisées dans des attaques d'hameçonnage sont toujours plus sophistiquées. 


 

Qu’est-ce qu’une menace « d’initiés » ?

On ne le sait pas toujours mais la négligence et la nonchalance peuvent avoir des effets dramatiques pour les organisations, surtout si elles génèrent une fuite de données. 68% des entreprises se pensent extrêmement vulnérables aux menaces d’initiés et elles ont raison : on entend par « menace d’initiés » des employés mal intentionnés, ou simplement des collaborateurs mettant en danger leur entreprise de manière non-intentionnelle.  Comment ? En travaillant de chez soi par exemple, il est moins aisé d’aller voir un collègue pour lui demander son avis sur un mail suspect, et donc on est plus susceptible de contribuer à la vulnérabilité de l’entreprise. 


 

La prise de conscience sécuritaire

Plus que jamais les CISO (chief information security officers) doivent accorder la priorité à la formation de la « Security awareness », c’est-à-dire la prise de conscience sécuritaire du personnel. Il faut absolument que tous les collaborateurs de l’entreprise soient conscients du rôle qu’ils jouent dans la sécurisation du réseau de leur entreprise et dans la réduction des menaces internes. 

Cette prise de conscience sécuritaire doit être vue comme une pièce incontournable du puzzle que représente la protection de l'entreprise dans son ensemble. Ce sont les employés eux-mêmes qui doivent former la première ligne de défense, et ce, quelle que soit leur mission dans l’entreprise. 

Il faut expliquer clairement en quoi ils doivent prendre la cyber-sécurité au sérieux :

  • En donnant la priorité à la formation : quels sont les types d'attaque les plus fréquents ? Comment fonctionnent ces attaques ? Quels sont les signes de comportement suspect ?  De quel genre de courriels ou sites web doit-on se méfier ? etc…

  • En organisant des simulations d’attaques, pour tester la connaissance et la vigilance des collaborateurs. 

  • En favorisant la collaboration : la cybersécurité n’est pas seulement l’affaire du département informatique, tous les collaborateurs doivent se sentir investis et motivés dans la cyber protection de l’entreprise. 


 

Que les collaborateurs s'en rendent compte ou pas, leurs manipulations risquent d'ouvrir la porte à des cybercriminels, ce qui fait que l'information sensible de leur entreprise est alors menacée. 

Une attitude passive eu égard à la cyber-sécurité n'est donc absolument plus acceptable et il est urgent d’accorder la priorité à l'information et à la formation du personnel, ainsi qu'à la collaboration entre les départements. Plus il y aura d'employés qui suivront le bon exemple, plus solide sera le pare-feu humain qui formera la première ligne de défense de l'entreprise.