Téléchargez la documentation technique !
Recevez gratuitement dans votre boîte mail la documentation technique de Gestactiv’2 et découvrez son fonctionnement dans le détail.
Le phishing est une cybermenace qui pèse toujours sur les internautes. En témoigne cette étude réalisée par Sophos en 2021 qui indique que cette technique reste toujours très prisée des cybercriminels. Et les entreprises ne sont bien sûr pas épargnées par cette tendance. Alors pour protéger votre structure, nous vous donnons toutes les clés pour détecter ces arnaques et vous en prémunir.
Sommaire
Le phishing, aussi appelé « hameçonnage » correspond à une escroquerie souvent réalisée par email. Les pirates se font généralement passer pour un organisme de confiance (entreprise, banque, impôts, etc…). Sous un faux prétexte ils demandent aux destinataires leurs coordonnées bancaires ou leurs identifiants de connexion à des services tiers. Souvent dans le but de leur soutirer de l’argent. On retrouve généralement ces trois types de stratégies, basés sur l’ingénierie sociale, pour vous appâter :
Heureusement il existe des moyens de repérer ces tentatives de phishing. Certaines sont bluffantes de réalisme, d’autres sont véritablement grossières mais toutes contiennent au moins un de ces éléments qui doivent vous alerter :
Comme une image vaut mille mots, voici un exemple :
Un œil averti remarquera tout de suite :
Un organisme sérieux (banque, assurance, site gouvernemental, etc.…) ne demande jamais par email les données confidentielles (mots de passe, informations personnelles, n° de compte ou de carte bancaire, etc…) de ses clients/utilisateurs. Même si le message vous presse de répondre sous peine de sanctions financières, ne réagissez pas dans l’urgence. Demandez vous d’abord si cette demande est légitime.
Ensuite, rien ne vous empêche de contacter l’émetteur du mail (via un autre canal) pour confirmer qu’il en est bien à l’origine. De cette manière vous clarifiez instantanément la situation. S’il n’est effectivement pas derrière cet envoi, vous l’informez alors d’un potentiel problème de sécurité sur sa boîte mail professionnelle. Et vous lui permettez de mettre en place une campagne de prévention auprès de ses clients ou usagers.
En cas de doute sur la légitimité d’un lien qui vous est présenté dans le contenu du mail, ne cliquez surtout pas dessus.
Observez d’abord son URL, toute faute d’orthographe ou irrégularité (tiret ou point en trop/en moins, par exemple) doit vous alerter. Et si vous n’arrivez pas à définir si ce lien est crédible ou non :
Soyez également attentifs. Certains sites web comme celui des impôts affichent parfois des messages vous mettant en garde contre de potentielles campagnes de phishing réalisées avec leur identité.
Dans la mesure où il s’avère réellement nécessaire de fournir vos informations confidentielles à un organisme via un formulaire web, nous recommandons de vérifier que le site en question est bien sécurisé et fiable :
Notez également que certains navigateurs émettent des avertissements « Phishing » lorsque vous essayez d’accéder à des sites catégorisés comme tels. Si votre navigateur vous alerte, faîtes lui confiance et quittez immédiatement la page.
L’intérêt est de limiter au maximum le nombre de campagnes de phishing qui arrivent dans votre boîte de réception. Car moins vous y serez confrontés, moins vous serez susceptibles de tomber dans un piège.
Pour cela, utilisez un logiciel de filtre anti-spam. Ou encore les fonctionnalités de classement automatique en tant que spam/indésirable de votre boîte mail. Même si ces filtres ne sont pas exhaustifs, ils permettent toutefois de réduire drastiquement le nombre d’emails frauduleux reçus. Et bien sûr il est indispensable de compléter ces dispositifs avec un antivirus à jour qui pourra vous alerter si vous recevez un email douteux.
Les attaques en phishing reposent essentiellement sur la crédulité des utilisateurs et le manque d’informations sur cette pratique. Formez vous et entraînez vos équipes à reconnaître ce type de cyberattaques. C’est la première des défenses contre ces dernières ! Vous pouvez par exemple, échanger autour de cas de phishing dans l’actualité (vous aurez malheureusement toujours des ressources…). Ou bien organisez des fausses campagnes de phishing au sein de votre entreprise. Ainsi, vous pourrez évaluer les connaissances de vos collaborateurs et débriefer autour de leurs réactions dans cette situation précise. Et pour approfondir le sujet vous pouvez aussi consulter notre article dédié à la sensibilisation à la cybersécurité.
Enfin, sachez qu’en cas de cyberattaque, seule votre organisation est responsable. En conséquence, vous ne pourrez pas être dédommagés du montant que les pirates auront réussi à vous soutirer. Et si les hackers se sont attaqués aux données de votre entreprise, vous vous exposez potentiellement à des sanctions de la CNIL. Surtout si elle estime que vous n’avez pas assez sécurisé votre système informatique.
C’est pourquoi, chez Axis Solutions nous utilisons notre expertise en matière de cybersécurité comme bouclier contre les cyberattaques visant votre entreprise. Après analyse de votre structure et de vos méthodes de travail, nous intégrons à votre système les outils nécessaires (antispam, antivirus, pare-feu, vpn, prévention/détection d’intrusion etc…) à une protection à 360° de vos données professionnelles. Et parce que l’on est jamais trop prudent, nous vous accompagnons aussi sur la mise en place de sauvegardes récurrentes et de Plans de Reprise et de Continuité d’Activité (PRA/PCA).
.