Sécurité

Comment lutter efficacement contre le phishing (hameçonnage) ?

Comment lutter efficacement contre le phishing (hameçonnage) ?

Qu’elles soient financières ou bancaires, personnelles ou stratégiques, aujourd’hui les données des entreprises sont considérées comme de véritables trésors, et les pirates informatiques rivalisent d’idées pour tenter de s’en emparer. La cybersécurité est donc devenue une arme indispensable pour se défendre des nombreuses cyberattaques qui ont lieu chaque année en France et dans le monde.

Selon le 5e baromètre de la cybersécurité des entreprises du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) par OpinionWay publié en janvier 2020, 65 % des entreprises françaises ont déclaré avoir subi au moins une cyberattaque en 2019, mais seules 4 entreprises sur 10 affirment être préparées en cas de cyberattaque de grande ampleur.

Le phishing ou hameçonnage est l’une des cyberattaques les plus répandues : 79 % des entreprises françaises ont été victimes de phishing en 2019. Et avec le Covid-19, les arnaques se sont multipliées (vente de masques ou de gel hydroalcoolique, appel aux dons, etc.).

Découvrez ce qu’est le phishing et comment s’en protéger.

Qu’est-ce que le phishing ?

Le mot phishing vient de la contraction de deux mots anglais : phreaking qui veut dire piratage téléphonique et fishing qui signifie la pêche. En français, phishing est traduit par hameçonnage.

Il s’agit d’une technique de fraude très répandue sur Internet qui permet aux pirates informatiques de récupérer les données personnelles sensibles (informations bancaires, mots de passe, etc.) des internautes en se faisant passer pour un tiers de confiance tel que votre banque, votre fournisseur d’énergie, une institution publique (comme l’Assurance Maladie, les impôts, etc.), votre fournisseur d’accès Internet (FAI) ou de téléphonie, ou encore un site d’e-commerce.

Le phishing est principalement mené par e-mail, mais vous pouvez également être victime de cette technique frauduleuse via les réseaux sociaux, par SMS ou par téléphone.

Comment ça marche ?

Le plus souvent, vous recevez un e-mail qui semble provenir d’un organisme ou d’une entreprise de confiance vous invitant à cliquer sur un lien afin de mettre à jour vos informations personnelles, payer des factures en attente, consulter un message ou télécharger une pièce jointe.

Cependant, le lien vous dirige vers un faux site Internet, copie de l’original, créé par les pirates informatiques. Les informations que vous y entrez sont alors récupérées directement par les fraudeurs qui vont les utiliser pour usurper votre identité ou vous soutirer de l’argent.

Quant aux pièces jointes, elles contiennent des virus ou des malwares (logiciels malveillants en français) qui affectent votre ordinateur et peuvent, selon le type, bloquer l’accès à vos fichiers en l’échange d’une rançon (les ransomwares) ; collecter des informations personnelles (les spywares) ; ou endommager votre ordinateur ou le réseau de l’entreprise (les vers).

7 conseils pour lutter contre l’hameçonnage

Contrairement à d’autres cyberattaques qui exploitent les possibles failles des systèmes informatiques ou des ordinateurs, le phishing tire profit de la naïveté humaine. En effet, toujours selon l’enquête du CESIN, le risque d’une cyberattaque est causé à 43 % par la négligence ou l’erreur de manipulation ou de configuration d’un salarié.

Il est donc essentiel d’encourager vos employés à être méfiants avant d’ouvrir un e-mail, et de les former pour qu’ils identifient les tentatives de phishing et qu’ils apprennent les bons gestes à adopter pour éviter de mordre à l’hameçon.

Éviter d’ouvrir les e-mails de destinataires inconnus

Méfiez-vous toujours des messages que vous recevez de parfaits inconnus, encore plus si ceux-ci vous offrent des cadeaux ou des sommes d’argent sans raison. Évitez d’ouvrir l’e-mail, mais surtout, évitez de cliquer sur le lien que contient le message ou de télécharger la pièce jointe.

Vérifier l’adresse e-mail

Vous venez de recevoir un message de votre banque, de votre fournisseur d’électricité ou d’accès Internet, mais vous avez un doute ? Commencez par vérifier l’adresse e-mail de l’expéditeur. Correspond-t-elle à celle des messages que vous recevez habituellement ? Comporte-t-elle le nom de domaine de l’entreprise ? Par exemple, l’adresse e-mail de Free Mobile doit être freemobile@free-mobile.fr, et non pas log@adiciel.fr. Soyez également attentif à l’orthographe qui peut parfois être très proche : BMP Pariibas au lieu de BNP Paribas.

Vérifier le lien dans l’e-mail

Pour cela, positionnez votre souris sur le lien sans cliquer pour afficher l’adresse. Vous pouvez alors vérifier si l’adresse du lien correspond à la véritable adresse de l’organisme qui vous contacte. Soyez attentif car cela peut parfois être très subtil et se jouer à un seul caractère (une lettre en moins, une lettre en double ou une lettre remplacée par une autre).

Regarder le nom de domaine

Vous avez ouvert un e-mail et cliqué sur le lien, mais une fois sur le site Internet, on vous demande d’entrer vos données personnelles et/ou bancaires, et vous êtes pris d’un doute. Vérifiez l’adresse du site web pour vous assurer que vous êtes bien sur le bon site, et non sur une copie créée par des escrocs. Comme pour l’adresse e-mail, faites attention à l’orthographe. Par exemple, http://impts.goov.info au lieu de https://www.impots.gouv.fr.

Vous avez un doute ? Ne fournissez aucune information et fermez la page.

Être attentif à l’orthographe et à la qualité des images

La plupart des tentatives d’hameçonnage sont rédigées avec des fautes d’orthographe et une mauvaise syntaxe, et/ou contiennent des images de mauvaise qualité, souvent pixellisées. Aujourd’hui, cependant, la qualité des e-mails de phishing tend à s’améliorer, soyez donc très vigilant.

Dans tous les cas, n’hésitez pas à contacter directement l’organisme concerné si vous avez le moindre doute.

Former vos salariés à la cybersécurité

Aujourd’hui, la formation et la sensibilisation de l’ensemble des salariés d’une entreprise sont les meilleures défenses face au risque de cyberattaques. Ainsi, ces derniers seront plus méfiants, ils seront capables d’identifier les différentes menaces en ligne et ils sauront quelles attitudes adopter.

Communiquer de manière sécurisée

Lorsque vous devez échanger sur des sujets sensibles ou partager des données confidentielles avec vos collaborateurs, vos clients, vos partenaires ou vos fournisseurs, privilégiez l’utilisation de chats sécurisés avec chiffrement plutôt que l’e-mail. Même chose pour le partage de documents ou de fichiers sensibles pour lequel vous pouvez utiliser des data rooms sécurisées.

Enfin, sachez qu’aucun organisme ne vous demandera jamais vos coordonnées bancaires. Une telle requête devrait immédiatement vous alerter.

Vous voulez en savoir plus sur la cybersécurité ? Découvrez 8 sites sur la cybersécurité à suivre absolument et 4 recommandations cybersécurité à appliquer en télétravail.

New call-to-action