Le phishing ou hameçonnage est l’une des menaces informatiques qui pèsent le plus sur les entreprises. Utilisée par les pirates informatiques, cette pratique consiste à récupérer frauduleusement les informations sensibles d’une personne ou d’une entreprise à des fins malveillantes. Pour les entreprises, ses conséquences peuvent être très graves. Autant donc s’en prémunir. Il existe heureusement des solutions efficaces pour lutter contre le phishing.
Faites une formation pour lutter contre le phishing en entreprise
Le phishing est une technique frauduleuse d’ingénierie sociale. Cela signifie qu’elle ne mise pas systématiquement sur une faille informatique, mais plutôt sur une erreur humaine. Dans cette logique, l’hameçonnage cible généralement les salariés et collaborateurs de l’entreprise, pour récupérer des informations sensibles et nuire à l’organisation. Pour vous prémunir du phishing en entreprise, le travail devra alors commencer par une sensibilisation de vos salariés. En pratique, faire de la sensibilisation contre le phishing suppose d’organiser des séances de formation, quant aux réflexes à avoir en présence d’un message de phishing.
Au bénéfice de la formation, l’entreprise pourra dans un premier temps apprécier le niveau de vulnérabilité des collaborateurs par rapport au phishing. Elle pourra ensuite les initier aux pratiques, réflexes et comportements à avoir pour maîtriser et minimiser cette vulnérabilité. La formation des collaborateurs de l’entreprise permet de réduire de moitié le risque de céder à cette approche d’ingénierie sociale. Elle permettra aux participants de savoir identifier les différentes formes de phishing. La sensibilisation sera aussi l’occasion de renforcer les dispositifs de lutte contre ce fléau en entreprise. À travers des tests, réalisés idéalement par trimestre, les participants seront à jour des scénarios d’attaque et des attitudes pour les contrer.
Comment fonctionne le phishing ?
La technique d’ingénierie sociale qu’est l’hameçonnage consiste à tromper la vigilance de la cible à travers un SMS ou un mail, l’incitant à communiquer des données personnelles ou bancaires, qui seront utilisées à des fins frauduleuses. À cet effet, le pirate se fait passer pour un tiers de confiance : banque, organisme public, opérateur de téléphonie, fisc, etc. C’est à ce niveau que se joue toute la manœuvre. Il invite le destinataire à cliquer sur un lien et mettre à jour ses informations, en prétextant une mise à jour ou une intervention sur le support technique. Le destinataire, voyant que vraisemblablement le message reçu provient d’un tiers de confiance avec qui il traite habituellement, n’hésite pas à cliquer sur le lien et effectuer l’action requise. Il communique par conséquent les informations sensibles de l’entreprise et l’expose.
Quelles sont les escroqueries par hameçonnage les plus courantes ?
Le phishing peut prendre diverses formes, l’e-mail étant la plus fréquente. Le piège par e-mail consiste à appâter la cible en lui adressant un courriel. Souvent, le mail contient un lien redirigeant vers une page web factice. Le courriel peut aussi contenir des pièces jointes contenant des malwares, et sur lesquelles le destinataire est invité à cliquer. Il existe également l’hameçonnage par site web. Il s’agit généralement d’un site qui en apparence ressemble à celui d’un tiers de confiance avec qui vous traitez. En réalité, c’est une fausse page créée par le pirate afin de vous mettre en confiance pour que vous renseigniez les informations sensibles dont il a besoin. Le phishing par site internet peut aussi prendre la forme de pop-up (fenêtres contextuelles).
Avez-vous déjà entendu la notion de smishing ? Il s’agit de l’hameçonnage par SMS. Vous recevez un message vous demandant de cliquer sur un lien qui y est intégré ou de télécharger une application. Aussitôt que vous cliquez, vous téléchargez des malwares sur votre terminal. Ils vont alors récupérer vos informations personnelles et les transmettre aux pirates. Ces trois cas de phishing sont les plus connus. Il en existe néanmoins d’autres comme le vishing ou phishing vocal et le phishing par les réseaux sociaux. Peu importe le mode de fonctionnement, l’attaque peut être ciblée. On parle dans ce cas de phishing ciblé. Il peut aussi s’agir de harponnage, une forme d’attaque ciblée, mais qui vise une personne de grande valeur dans l’entreprise (DAF, DE, DA, DG). On peut aussi retrouver le pharming et la fraude au PDG.
Comment vous protéger des attaques au phishing ?
Au bénéfice de la sensibilisation, tous les acteurs internes de l’entreprise peuvent se prémunir du phishing. Le premier réflexe est de ne jamais communiquer de données sensibles par messagerie ou téléphone. Aucune administration ou banque ne vous demandera vos informations par messages ou par téléphone. La procédure est essentiellement présentielle. Vous devez aussi vérifier l’adresse du lien sur lequel vous êtes invité à cliquer. Si vous avez des doutes sur l’adresse qui s’affiche dans votre navigateur, déconnectez-vous de la page et ouvrez une nouvelle page pour vous connecter au site du tiers de confiance en tapant vous-même son adresse. Outre ces réflexes, pour vous prémunir du phishing, vous devez aussi :
- utiliser des mots de passe distincts et longs pour chaque site et applications,
- adopter la double authentification,
- adopter un gestionnaire de mot de passe,
- utiliser un antivirus performant et à jour,
- vérifier les certificats de sécurité des sites (protocole HTTPS),
- mettre en place un protocole de sécurité des informations sensibles dans l’entreprise.
Pensez par ailleurs à interdire aux employés d’utiliser des comptes personnels à des fins professionnelles et inversement.
Que faire si vous pensez avoir été victime d’une attaque de phishing ?
Si vous estimez avoir été hameçonné, la première des choses à faire est de contacter votre tiers de confiance pour l’en informer. Au cas où vous avez déjà communiqué des informations au pirate, informez votre hiérarchie afin que l’entreprise puisse faire opposition auprès de la banque ou de l’organisme financier dans les meilleurs délais. Il en est de même si le compte a déjà été débité. Vous devez aussi porter plainte au commissariat de police ou à la gendarmerie dont dépend l’entreprise. Dans l’hypothèse où vous recevez un message suspect ou êtes appelé à accéder à un site douteux, informez-en Signal Spam ou Phishing Initiative afin que la CNIL ou l’organisme habilité puisse intervenir rapidement. L’entreprise a également la possibilité de recourir à l’Institut National de la Consommation afin de se faire aider.