Tél : 02.78.77.53.86 hello@avantdecliquer.com

La sensibilisation à la cybersécurité réinventée qui divise par 10 le risque de cyberattaque

A l’aide d’un programme de sensibilisation au phishing
basé sur l’apprentissage par l’action
créé sur mesure pour chaque utilisateur
et animé sur la durée sans intervention de votre part

Comment se protéger de l’hameçonnage ?

Hameçonnage, phishing, filoutage, trois mots pour désigner l’acte de cybermalveillance le plus répandu au sein des organisations.

Très ancien mais en forte recrudescence ces dernières années en France (selon le constat du site cybermalveillance.gouv.fr) et, de manière générale, depuis l’expansion des réseaux sociaux, l’hameçonnage est une technique peu coûteuse et simple d’accès qui permet aux fraudeurs d’obtenir des renseignements personnels et/ou professionnels et de commettre une usurpation d’identité.

Par ailleurs, aucune solution technique n’est efficace à 100% pour éradiquer ce problème. La prévention reste donc la meilleure solution. En effet, quelques précautions suffisent pour se protéger contre la majorité de ces cyberattaques.

Pourquoi les cybercriminels privilégient-ils le phishing ?

D’aucun vous le diront, en dehors de savoir envoyer un e-mail, le phishing le plus basique ne requiert aucune connaissance informatique approfondie. De plus, enquêter sur une “cible” grâce à l’abondance d’informations diffusées sur le web, les réseaux sociaux (Instagram, Linkedin, Twitter, Facebook…) devient un “jeu d’enfant” pour les cybercriminels.

  • Parmi la multitude de pirates informatiques se distinguent deux types de cybercriminels :
    Une minorité dont les connaissances et compétences élevées en informatique leur permettent de réaliser des méfaits pointus et ciblés et dont l’objectif est d’engranger, en un seul “casse”, un gain financier considérable.
  • et les autres – la plus grande majorité – qui utilisent des solutions clé en main : comme le rappelle l’ANSSI dans une communication du 31 janvier 2019, « cette profusion d’attaques est facilitée par la vente sur Internet de rançongiciels prêts-à-l’emploi (raas : ransomware-as-a-service), comme gandcrab, ryuk, samsam, dharma… »

En se faisant passer pour un expéditeur établi (institution, administration, collaborateur, fournisseur, réseau social…), l’attaquant tente de vous soutirer des informations personnelles et/ou professionnelles (mots de passe, identifiants de connexion…) ou à vous leurrer pour vous faire cliquer sur un lien ou fichier qui, une fois activé, introduira un malware (virus, vers, rançongiciel) sur votre poste de travail…

A titre d’exemples, le ransomware à la mairie de Séquedin ransomware à la mairie de Séquedin, la campagne de mails frauduleux à l’hôpital privé du Confluent Nantes ou encore, le ransomware à l’encontre de Lise Charmel, placé en redressement judiciaire depuis février 2020.

A savoir qu’en cas d’arnaque au phishing, seule votre organisation est responsable…En conséquence, nul n’est soumis à vous dédommager le montant de la fraude.

Par ailleurs, le fraudeur n’hésitera pas à exploiter tous les canaux disponibles pour vous piéger : courrier électronique, sites web falsifiés (appelé également technique du man-in-the-middle, à savoir l’imitation de la page de connexion de l’organisme tiers) ou autres moyens électroniques.

Sans scrupule, le cybercriminel ne manque pas d’imagination pour inventer des scénarios : fausse facture, offre alléchante…exigeant souvent de vous une action immédiate, suscitant des émotions, usant de techniques de manipulation multiples et variées afin de faire aboutir leur envoi de phishing, par exemples dernièrement, l’exploitation sordide du coronavirus ou, depuis plusieurs années, les arnaques de type « fraude au président », connues également sous le nom de FOVI (Faux Ordres de Virements).

Néanmoins, si votre organisation adopte une véritable stratégie de prévention, si la protection contre le phishing reste l’une de ses premières priorités, l’hameçonnage peut être limité.

Comment vous protéger contre le phishing ?

Voici quelques recommandations pour vous protéger contre les attaques de phishing, la prudence, l’esprit critique et la connaissance restant nos meilleurs alliés.

De manière générale :

  • Ne partagez jamais vos informations, soyez prudent lorsque vous partagez des informations personnelles ou professionnelles
  • Ne vous connectez jamais ailleurs que sur le site internet de votre véritable administration, institution, organisation…
  • Observez bien l’URL du lien, toute faute d’orthographe ou irrégularité doit attirer votre attention
  • Vérifiez que le site est sécurisé : un cadenas doit être présent dans l’URL et l’adresse du site doit commencer par HTTPS (et non HTTP).
  • Saisissez vos noms d’utilisateur et mots de passe uniquement quand vous utilisez une connexion sécurisée.

Concernant votre boite mail :

Certes, il arrive que le manque de temps et la fatigue engendrent une baisse de vigilance. Toutefois, prenez le temps de vous poser les bonnes questions.

Par exemple, est-ce que cet e-mail m’est réellement destiné ? Ce message évoque un dossier, une facture, un thème qui ne me parle pas ? Est-ce que je connais cet expéditeur ? Son contenu est inquiétant, déconcertant, inattendu ? Pourquoi cet expéditeur me somme-t-il de répondre dans de si brefs délais ?

En cas de doute, ne cliquez pas sur “répondre” ou “transférer “ et ne cliquez jamais sur les liens ou pièces jointes des emails, ils dirigent souvent vers une fausse page qui ressemble au site d’origine ou téléchargement d’un logiciel malveillant.

Quelques recommandations :

  • Créez-vous différentes adresses de messagerie en fonction de vos besoins : réseaux sociaux, échanges personnels…
  • Utilisez un mot de passe unique par compte.
  • Servez-vous d’un gestionnaire de mots de passe, outil analogue à un coffre-fort dans lequel sont stockés et chiffrés l’ensemble de vos mots de passe. De plus, le gestionnaire de mots de passe est lui-même protégé par un mot de passe “maître”…le seul à retenir finalement !
  • Restez prudent lors de la communication de vos adresses électroniques professionnelle et personnelle.
  • N’utilisez pas votre messagerie professionnelle pour un usage personnel et réciproquement.
  • Utilisez un filtre anti-spam : en effet, vous pouvez paramétrer le dossier “indésirables” ou “spams” de votre messagerie afin que les mails douteux que vous inscrirez comme “indésirables”, soient directement dirigés dans ce dossier.

Sensibilisation et formation !

Vous avez une fonction liée à la gestion des risques dans votre organisation ? Menez une campagne de sensibilisation à la cybersécurité.

En matière de sécurité, la CNIL préconise de “faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée”.

En effet, la prévention auprès des utilisateurs revêt un caractère stratégique pour réduire le nombre de cas d’hameçonnage. Et pour cause : dans 90% des cas, c’est l’action d’un utilisateur sur son poste, souvent réalisée de manière involontaire, qui est à l’origine des cyberattaques.

Aussi, organiser une campagne de sensibilisation pour se protéger du phishing est l’occasion de rappeler les règles de sécurité de base. Pour ce faire, vous pouvez animer des séances de formation et de sensibilisation à la sécurité en envoyant régulièrement des e-mails de phishing inoffensifs aux employés et tester ainsi la vigilance de votre équipe.

L’humain au coeur de la stratégie de cybersécurité

Impliquer l’Homme dans sa stratégie de cybersécurité consiste à prendre conscience que les êtres humains sont tout aussi importants que les technologies.

En effet, ces dernières ne nous protègent que partiellement et, face à la multiplication et la diversification des cyberattaques, l’éradication totale du phishing est impossible. Acquérir une culture de la cybersécurité doit donc être une priorité pour les organisations.

C’est pourquoi il est essentiel que chaque utilisateur, dernier rempart dans la lutte anti-phishing, soit sensibilisé à ce fléau et formé pour savoir comment s’en protéger.

Télécharger le livre blanc