Blog

Akerva

Faites l’expérience de la sécurité active & réactive

Cybersécurité pour tous, Veille sécurité

Phishing : les entreprises sont toujours vulnérables !

Cybersécurité pour tous, Veille sécurité | 23/03/2023 D’après l’éditeur Splunk, le phishing continue d'être à 36% l’origine des failles de sécurité dans les entreprises*. Si les grandes entreprises font plus souvent l’objet d’attaques par phishing à cause de leur notoriété, la maturité de leurs services...

D’après l’éditeur Splunk, le phishing continue d’être à 36% l’origine des failles de sécurité dans les entreprises*. Si les grandes entreprises font plus souvent l’objet d’attaques par phishing à cause de leur notoriété, la maturité de leurs services informatiques permet souvent de mitiger les dégâts en cas d’ouverture d’une pièce jointe malveillante ou d’un lien de phishing. Tandis que les entreprises de taille plus modeste avec une sécurité informatique moins mature se font moins attaquer mais avec des conséquences souvent plus graves, voire désastreuses pour l’entreprise.

 

 

Les méthodes souvent utilisées

pishing

Les attaques de phishing peuvent prendre différentes formes. De l’attaque générique à grande échelle facilement détectable à l’attaque ciblée sur un groupe d’individus restreint comportant beaucoup de données contextuelles et personnelles des cibles pour endormir leurs vigilances.
Les attaques de spear-phishing usurpant l’identité d’un tiers de confiance (fournisseur, autorité de tutelle, collègue, ami, etc.) sont les plus redoutables car la cible baisse sa garde. Comme exemple de ce genre d’attaque, on retrouve un fournisseur envoyant une fausse facture contenant une charge virale ou un collaborateur demandant d’envoyer des documents sur une adresse personnelle pour télétravailler.

Pour contrer cette menace, il est primordial de sensibiliser régulièrement les collaborateurs sur le phishing.

 

Sensibiliser les collaborateurs

Il est donc nécessaire de lancer des campagnes de communication autour du phishing régulièrement pour entretenir leurs vigilances dans le temps. Voici des points d’attention pour détecter des courriels de phishing :

  • Ne pas ouvrir les pièces jointes provenant d’un expéditeur inconnu, qu’importe le format du document.
  • Vérifier l’adresse de l’expéditeur : regarder s’il n’y a pas des caractères spéciaux qui indiqueraient une tentative de tromperie dans le nom de domaine. Les attaquants achètent des noms de domaine avec une orthographe légèrement différente d’un nom de domaine connu et légitime pour tromper leurs cibles.
  • Ne pas seulement se fier au nom court de l’expéditeur s’affichant au début du mail, il peut être modifié afin de tromper le destinataire.
  • Regarder la mise en forme du mail qui pourrait être différente des courriels habituels.
  • Vérifier l’adresse du lien dans le mail en passant sa souris dessus (sans cliquer dessus), il peut être dissimulé dans un bouton cliquable d’apparence anodine. S’il ne provient pas du même domaine que l’expéditeur, vous êtes très probablement dans une tentative de phishing.
  • Faire attention lorsque le mail demande d’effectuer des actions urgentes, c’est une technique pour altérer le discernement des cibles et les faire cliquer sur la pièce jointe ou le lien malveillant.
  • En cas de doute si cela semble provenir d’un organisme ou d’une personne avec lequel vous êtes en relation fréquemment, vous pouvez la contacter via un autre canal (par téléphone par exemple) pour vérifier la légitimité du courriel.

Pour sensibiliser les collaborateurs des affiches peuvent être disposées à des endroits clés de l’entreprise prodiguant des conseils courts et clairs pour détecter le phishing. Mais il est aussi nécessaire de pouvoir évaluer l’efficacité de la sensibilisation au phishing des collaborateurs via la mise en place régulière de campagne de faux phishing.

 

 

Campagnes de faux phishing

Les campagnes de faux phishing sont un outil clé pour lutter contre le phishing. Elles remplissent deux rôles :

  • Vérifier le niveau de vigilance des collaborateurs contre le phishing
  • Renforcer la sensibilisation avec une mise en situation et une communication en fin de campagne

Pour organiser des campagnes de faux phishing il convient d’obtenir l’accord préalable du représentant du personnel car cela nécessite la manipulation de données à caractère personnel des employés : nom, prénom et courriel, mais aussi de garantir l’anonymat des résultats afin d’empêcher la pénalisation des collaborateurs, en cas de clic sur le lien.

Il faut aussi s’assurer que l’organisation de la campagne de faux phishing reste secrète pour obtenir des résultats les plus réalistes possibles.

L’organisation de campagnes de faux phishing avec des mails de vraisemblance croissante permet d’améliorer graduellement la sensibilisation des collaborateurs afin de réduire les chances qu’une attaque par spear-fishing aboutisse.

 

Restitution des résultats

Si vous n’avez pas opté pour l’affichage d’un message de communication en cas de clic sur le lien, la communication à la suite de la campagne doit se faire dans un délai court afin d’ancrer plus efficacement dans l’esprit des collaborateurs les messages de sensibilisation et de les rassurer.

Il convient d’adapter les messages de sensibilisation aux différents groupes métiers des utilisateurs. En effet un collaborateur d’un service RH n’a pas le même rapport aux courriels qu’un collaborateur d’un service achat ou informatique. Sensibilisez d’abord les managers pour les associer à la démarche afin que l’information puisse descendre naturellement par un canal métier aux collaborateurs.

Source : https://www.splunk.com/en_us/form/top-50-security-threats.html

Actualités & blog

Restez informé des dernières actualités

RESTEZ INFORMÉ DES ACTUALITÉS AKERVA

ABONNEZ-VOUS À NOTRE NEWSLETTER