Pourquoi la sensibilisation des salariés au phishing est-elle devenue une obligation pour les entreprises ?
21 janvier 2021Avec la forte augmentation des fuites de données personnelles depuis 2018, les cybercriminels ont développé de nouvelles stratégies toujours plus innovantes visant à extorquer des fonds et à dérober des données auprès de salariés non sensibilisés face à ce type de menace. Car c’est un fait, dans la plupart des cas, une formation de sensibilisation au phishing permet d’augmenter le niveau de vigilance du salarié et ainsi d’éviter des attaques potentielles.
Les statistiques sont unanimes, 91% des menaces utilisent l’email comme premier vecteur d’attaque, et en 2019, 50% des TPE/PME ont été visés par une cyberattaque en France.
En 2020, l’Anssi a annoncé que la sécurité des systèmes des entreprises françaises avait été mise à rude épreuve avec une nouvelle augmentation de 400% des attaques informatiques par rapport à 2019.
Toujours en 2020, l’épisode de la Covid et les nombreux scenarii d’usurpation de producteurs de masques ont fait également grand bruit dans les médias avec à son paroxysme, la Cerp de Rouen escroquée de 6,6 millions d’euros.
Dans le cas des cyberattaques les plus sophistiquées, l’hameçonnage n’était qu’un maillon de la chaîne d’attaque. Ainsi de graves cyber incidents ont été observés comme l’apparition de brèches de sécurité, d’intrusions, d’actes d’espionnage ou encore d’installations d’un logiciel malveillant ou d’un ransomware.
Comment protéger son entreprise contre les attaques de phishing ?
Qu’ils soient sous la forme d’une arnaque au président ou d’une campagne de phishing, plusieurs barrières de protection permettent de prévenir une attaque et ainsi de protéger une entreprise contre ces menaces.
Utiliser une solution de sécurité de l’email
Le mécanisme principal d’une campagne de phishing réside dans l’usurpation d’identité.
Le hacker va chercher à se faire passer pour un membre de l’entreprise en adoptant un domaine “voisin”.
Qu’est-ce qu’un domaine “voisin” ?
Un domaine voisin est un domaine similaire au domaine de l’entreprise ciblée, mais ceci à une lettre près.
Par exemple, le domaine voisin du domaine michelin.com pourrait être michlin.com.
La victime étant habituée chaque jour à lire le domaine michelin.com sur son navigateur ne saura pas forcément déceler qu’il manque la lettre “e” dans le domaine usurpé.
Comment contrer ce type d’attaque ?
Pour contrer ce type d’attaque, des solutions de sécurité existent et permettent de détecter ce type de menace dans la majorité des cas.
Cependant, si la boîte mail d’un salarié a été compromise, il est quasi impossible de savoir si cet email est à caractère malicieux.
Dans ce cas, seule une sensibilisation des salariés à la reconnaissance d’attaques de phishing ou de fraudes au président permet de réellement détecter ces menaces.
Organiser une session de sensibilisation au phishing sous la forme d’un jeu
Sensibiliser les utilisateurs est le moyen le plus efficace pour contrer les menaces.
En augmentant le niveau de vigilance des salariés, vous augmentez la capacité de défense de l’entreprise.
En organisant une session de sensibilisation au phishing sous la forme d’une jeu de reconnaissance de faux et de vrais mails de phishing, vous apprenez à vos salariés à appliquer des règles de validation :
- Reconnaître un domaine voisin
- Reconnaître un comportement suspect
- Ne jamais télécharger une pièce jointe dans un format zip si elle n’était pas attendue
- Ne jamais télécharger de facture au format .doc ou .docx, dans la grande majorité, les factures sont envoyées au format PDF
- Toujours demander une double validation d’un supérieur ou d’un collègue dans le cadre d’une demande d’action à risque (changement d’un RIB, émission d’un virement bancaire).
Organiser des campagnes de sensibilisation au phishing internes
L’organisation de campagnes de phishing internes est le meilleur moyen de sensibiliser efficacement vos collaborateurs.
En produisant des scenarii d’attaque basés sur le quotidien de vos collaborateurs (demande de congés, tickets restaurant, réception du bulletin de paie, accès à la boîte mail), vous sensibilisez durablement vos équipes sur les méthodes communément utilisées.
Quelle est la conséquence d’une attaque de phishing ?
Si vous êtes victime d’une campagne d’hameçonnage, plusieurs conséquences peuvent apparaître.
Vol de vos identifiants et intrusion informatique sur le réseau de votre entreprise
De nombreuses campagnes de phishing ont pour but de voler vos identifiants de votre boîte de messagerie (Microsoft 365, G Suite, Hotmail).
Ainsi en usurpant l’apparence de votre page de connexion habituelle, le pirate enregistre vos identifiants d’authentification en clair sans que vous vous en rendiez compte.
Avec l’augmentation des outils collaboratifs, le pirate a ainsi accès à de nombreux logiciels de votre système d’information : document, tableur, dossier de partage, présentation powerpoint.
Il pourra ainsi extraire des documents confidentiels de la société et dans le pire des cas la liste des clients.
Vol de données
Dans le pire des cas, les pirates peuvent extraire vos données clientes comme le nom, prénom, numéro de téléphone mobile ou l’adresse email.
Ces données seront le plus souvent vendues ou utilisées dans des campagnes de phishing.
Dans de rares cas, les pirates peuvent exiger une rançon en bitcoin avant diffusion de vos données sur le dark web.
Pour rappel et conformément au RGPD, dans le cas d’une fuite de données, vous avez 48h pour déclarer la fuite auprès des clients et entreprises concernés.
De même, un signalement auprès de la CNIL doit être effectué.
Sébastien GEST
Sébastien Gest, expert en cybersécurité, décrypte les dernières menaces et les tendances du cyberespace.