Aujourd’hui, se protéger du phishing est indispensable ! En effet, malgré les règles de sécurité mises en place par chaque organisation, les attaques de phishing se multiplient. Elles visent tous types d’activité : des centres hospitaliers, des mairies, des écoles… Pour les cyberpirates, toute information est bonne à prendre !
En 2021, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) déclarait que 1 entreprise sur 2 étaient victimes de cyberattaques et que 73% d’entre elles étaient causées par une attaque de phishing.
Pour rappel, une attaque de phishing est une forme de cyberattaque par laquelle le cyberpirate envoie des faux mail aux victimes en se faisant passer pour un individu légitime. (banque, assurance, collaborateurs…)
Cela peut paraître facile d’éviter un simple mail, mais si l’on en croit les chiffres, ce n’est pas aussi facile que cela en a l’air !
Alors, comment se protéger d’une attaque de phishing ?
Reconnaître une attaque de phishing
Pour commencer, êtes-vous capable de reconnaître une tentative d’attaque de phishing ?
Cela vous est sûrement déjà arrivé de douter de la fiabilité d’un site web ou d’un mail. Mais parfois, il est plus dur de les reconnaître !
En effet, les hackers se professionnalisent de plus en plus pour créer des mails de phishing encore plus proche de la réalité :
- Usurpation d’identité d’une personne
- Usurpation de l’identité graphique d’une entreprise (nom de l’entreprise, logo, signature…)
- Nomination du destinataire
De plus, aujourd’hui, grâce à l’utilisation des réseaux sociaux comme LinkedIn, Twitter ou encore Instagram, les cyber pirates peuvent aussi être au courant des nouveautés concernant votre entreprise. Cela peut concerner une campagne de recrutement, un lancement de projet, un webinar etc…
Ces derniers sont donc à jour sur tout ce qui concerne votre entreprise. Ces informations leurs permettront par la suite de créer des mail de phishing qui vous sembleront plausibles.
Quelques indices à repérer pour se protéger du phishing
Les erreurs d’orthographe
Bien que les cyber pirates fassent en sorte de concevoir un faux mail parfait, ce dernier peut contenir des erreurs d’orthographes. Ces erreurs peuvent se trouver dans l’adresse de l’expéditeur, dans le corps du texte ou bien dans le nom de domaine d’un site web.
Par exemple, il ne serait pas étonnant de voir l’adresse mail “contact@oppens.io” au lieu de “contact@opens.fr”. Tout comme il serait possible d’être renvoyé sur une fausse page via un nom de domaine falsifié.
Les pièces jointes inhabituelles
Le cyber pirate peut aussi se faire passer pour un de vos collaborateurs afin de vous transmettre une pièce jointe infectée. Celle-ci pourrait par la suite vous apporter un virus ou un logiciel malveillant. Il évoquera une urgence ou un document important qui vous poussera à cliquer sur la pièce jointe.
C’est de cette manière que par la suite un hacker pourrait infiltrer et bloquer votre système informatique en échange d’une rançon. Cette pratique courante, appelée ransomware, ne cesse d’être utilisée encore en 2022 et risque d’être encore plus importante que 2021. Dernièrement il y a par exemple le centre hospitalier de Corbeil-Essonnes qui a été victime d’un rançongiciel. Pour pouvoir récupérer les données volées, les cyberpirates réclament une somme d’un million de dollars ce qui est énorme pour une entreprise.
Les demandes d’information ou de document confidentiel
Un cyberpirate n’hésite pas à se faire passer pour un collaborateur, voire une personne haut placée, pour vous soutirer facilement des informations ou des documents confidentiels.
Il peut s’agir de la demande de dossier d’un client ou d’un relevé de compte.
Lorsqu’un cyber-pirate se fait passer pour un président ou bien un directeur d’une entreprise, on parle de “fraude au président”.
Tout comme le ransomware, cette pratique est courante car le poste de la personne usurpé rend le scénario plus crédible auprès des employés.
Ainsi, même lorsqu’il s’agit d’un mail provenant d’une personne haut placé/il est toujours important de vérifier l’adresse mail de l’expéditeur et la fiabilité du lien, ou de la pièce, s’il y en a.
Nos conseils pour se protéger du phishing
Pour se protéger d’une attaque de phishing les antivirus ne suffisent pas ! Il est aussi de notre devoir de prendre certaines initiatives afin de minimer les risques de cyber attaques. Voici quelques conseils :
1 compte, 1 mot de passe
Avoir le même mot de passe sur tout ses comptes est une erreur plutôt commune. Mais imaginez la facilité qu’aura un cyber-pirate à pirater tous vos comptes lorsqu’il aura le mot de passe d’un de ces derniers ! Essayez donc de varier vos mots de passe.
Et surtout, évitez que vos mots de passe contiennent votre nom, prénom ou date de naissance.
Se méfier des réseaux Wi-Fi publics
Aujourd’hui, nous avons souvent besoin d’être connecté à internet, même en vacances ! Mais attention : il faut se méfier des réseaux publics, surtout si vous utilisez un ordinateur ou un mobile professionnel ! Car, qui dit Wi-Fi public, dit manque de sécurité.
Nous vous conseillons plutôt de vous tourner vers des connexions sécurisés. Si vous êtes dans le TGV ou bien dans un hôtel, n’hésitez pas à demander le nom et le mot de passe du réseau sécurisé au personnel.
Faire attention à ses affaires personnelles
Il peut arriver parfois de laisser son écran d’ordinateur ou de téléphone portable à la vue de tous. Et pourtant, c’est aussi de cette manière que les cyberpirates peuvent vous repérer. En laissant un écran à la vue des autres vous risquez de laisser savoir aux autres où vous travaillez, sur quel projet et avec qui.
Faites en sorte de protéger votre ordinateur de la vue des autres ou alors évitez de l’utiliser dans des endroits publics et surtout, sans surveillance !
En cas de doute…
En cas de doute, voici nos conseils face à un mail de phishing :
- Ne cliquez jamais sur une URL qui vous semble douteuse
- N’ouvrez jamais une pièce jointe reçue de manière inhabituelle
- Ne donnez jamais votre mot de passe ou vos identifiants à quelqu’un, même s’il s’agit d’un collaborateur
- Ne transférez jamais un dossier contenant des informations sensibles sans être assuré de la fiabilité de la demande.
Si vous avez cliqué ou ouvert un mail frauduleux, signalez-le immédiatement en vous référant aux pratiques de sécurité et aux règles de votre entreprise. Ne prenez pas de décision seul(e) car cela pourrait aggraver la situation.
Si vous souhaitez en savoir plus sur la simulation de phishing, n’hésitez pas à nous contacter !
