1,76 milliard de mails pirates en 2023, environ 75 % des entreprises concernées pour un coût moyen estimé en millions d’euros par attaque réussie… Les chiffres du phishing, une des malversations les plus courantes des cybercriminels, donnent le tournis ! Un email apparemment inoffensif ouvert par mégarde peut conduire à la catastrophe, avec la fuite de données sensibles susceptibles de causer des dommages tant financiers que de réputation. Autant dire que se prémunir de ces attaques et savoir y répondre n’est plus une option mais une obligation pour une entreprise, quelle que soit sa taille. On vous explique tout dans cet article, avec des stratégies concrètes pour se débarrasser de ce fléau.
Comprendre le phishing
Le phishing, ou hameçonnage en français, est une technique de cybercriminalité par laquelle un escroc trompe la victime en se faisant passer pour un tiers de confiance afin de l’inciter à divulguer des informations personnelles : identifiants de connexion, numéros de carte de crédit, données confidentielles de son entreprise… L’attaque peut se faire à travers plusieurs canaux :
- L’email, le phishing le plus courant en entreprise. La victime reçoit un email qui semble provenir d’une source légitime (comme une banque ou un partenaire commercial) l’invitant à communiquer des données personnelles ou à envoyer de l’argent. Elle peut également être sollicitée pour cliquer sur un lien frauduleux qui la redirigera vers un faux site.
- Smishing (phishing par SMS), qui prend la forme d’un message texte contenant des liens malveillants ou des demandes d’informations personnelles.
- Vishing (phishing par téléphone), les cybercriminels appelant directement les victimes en prétendant être des représentants d’organisations fiables pour obtenir des informations sensibles.
Quelles mesures préventives mettre en place en entreprise pour éviter les attaques de phishing ?
Trois grands types de mesures préventives doivent être prises pour contrer les inévitables attaques de phishing : la sensibilisation et la formation des employés, les campagnes de faux emails et la mise en place de mesures techniques.
Sensibiliser et former les employés
L’une des premières lignes de défense contre le phishing est la sensibilisation des employés. Des formations types webinaires et ateliers interactifs permettent de leur faire prendre conscience de la réalité du phishing, de la menace que cela représente pour leur entreprise et des bonnes pratiques à adopter pour s’en prémunir :
- Reconnaître les signes d’un email de phishing : s’ils sont de plus en plus crédibles, les phishings peuvent souvent être détectés grâce à plusieurs indices tels que des fautes d’orthographe ou de syntaxe (de moins en moins fréquentes), des adresses email suspectes, des pièces jointes inhabituelles, ou encore un ton pressant et/ou menaçant.
- Être méfiant au moindre doute : ne jamais cliquer sur des liens ou télécharger des pièces jointes provenant d’emails non vérifiés.
Les campagnes de faux phishing proposées par IPE
Rien ne vaut la pratique pour apprendre à vos équipes à détecter les mails de phishing ! IPE vous aide à mener une campagne d’envois aléatoires et réguliers de faux mails de phishing : nous définissons ensemble sa durée (un mois minimum), la fréquence des envois, ainsi que l’identité du faux pirate (Banque, Organisme de Sécurité sociale, etc.). Avec notre bibliothèque de mails plus vrais que nature prêts à envoyer, tout est prévu pour que cette campagne passe inaperçue.
Une précision importante : pour qu’elle fonctionne, cette campagne ne doit être connue que d’un nombre très restreint de collaborateurs (le responsable de la DSI et le DG, par exemple).
À la fin des envois, nous établissons un rapport complet comprenant notamment la proportion de salariés ayant été hameçonnés, ainsi que leur identité. Nous proposons également une formule premium : une mini-vidéo de formation rappelant les bonnes pratiques est automatiquement envoyée à un salarié qui aurait cliqué sur un de ces faux mails.
Mettre en place des mesures techniques en entreprise
En plus de la formation du personnel, IPE vous accompagne pour mettre en place des mesures techniques de protection contre le phishing. Parmi les plus efficaces, on peut citer :
- Les filtres anti-phishing : des logiciels et des services de filtrage permettent de bloquer les emails suspects avant qu’ils n’atteignent les employés.
- L’authentification multi-facteurs (MFA), ou l’ajout d’une couche de sécurité supplémentaire avec une deuxième forme de vérification en plus du mot de passe (codes envoyés par SMS, applications d’authentification, dispositifs physiques comme les tokens de sécurité…).
- Les mises à jour régulières des systèmes : se protéger contre les attaques cyber passe aussi par les mises à jour de sécurité qui corrigent les failles et renforcent la résistance des systèmes.
Réagir à une attaque de phishing : les mesures curatives
Personnel formé et sensibilisé, mesures barrières, systèmes à jour… Malgré toutes ces précautions, des données sensibles de votre entreprise ont fuité suite à un phishing ? Place aux mesures curatives à déployer au plus vite avec votre partenaire informatique afin de minimiser les dommages :
- Identification rapide de l’attaque : prenez le temps d’identifier précisément le ou les PC ayant été victimes d’un phishing réussi. En plus des emails suspects, un comportement anormal du PC est un indice fort.
- Réponse immédiate : une fois l’attaque identifiée, isolez les systèmes compromis pour empêcher la propagation de l’attaque. Changez également les mots de passe et bloquez les accès suspects.
- Communication interne : informez rapidement vos salariés et les partenaires concernés par l’incident afin qu’ils prennent des mesures de protection. Une communication claire et rapide peut aider à contenir l’attaque et à prévenir d’autres tentatives.
Enfin, pensez à documenter l’incident et à analyser les points de défaillance pour améliorer les mesures de sécurité existantes. L’expérience tirée de chaque incident renforce en effet la résilience de l’entreprise face à de futures attaques.
Se protéger contre le phishing en entreprise
Se protéger contre le phishing en entreprise nécessite une approche globale combinant mesures préventives et solutions curatives prêtes à être déployées immédiatement en cas d’urgence. Les risques sont trop importants pour prendre ce sujet à la légère : avec IPE, confiez la sécurisation de vos systèmes à un professionnel reconnu de l’infogérance depuis plus de 20 ans. Contactez-nous pour une demande de démonstration.