Expert | Attaque de phishing, comment vous protéger ?
Même si de nouvelles techniques davantage sophistiquées ont fait leur apparition (comme le « vishing » par téléphone ou le « smishing » par SMS), le phishing (ou hameçonnage) reste l’une des pratiques frauduleuses les plus répandues. L’e-mail restant en règle générale encore massivement exploité par les attaquants (93% des menaces proviennent de ce canal en 2018*). « Vos coordonnées doivent être mises à jour », « Vos informations bancaires n’ont pas été saisies », « Votre mot de passe est expiré »… Ces messages (ou malwares au sein des pièces jointes) que vous recevez, et paraissent pourtant bien légitimes, sont le fruit d’une pratique de manipulation psychologique à des fins d’escroquerie qui n’est que trop bien maîtrisée.
« Aujourd’hui, 97% des personnes sont incapables d’identifier un e-mail frauduleux.*»
2018, la pêche a été bonne !
Année record en 2018 pour les campagnes de phishing qui ont doublé par rapport à 2017 ! On parle ici de 25% de particuliers qui ont été touchés, 20% de collectivités et 14% d’entreprises*. Selon un rapport d’enquête d’IDG*, les employés victimes de ce type d’attaque sont à l’origine de graves failles de sécurité au cours de l’année écoulée. Entre autres, on parle de : 61% de dossiers client compromis, 56% de perte de secrets commerciaux ou de propriété intellectuelle et 49% de vol d’Informations Personnelles Identifiables (IPI)*. À savoir que les hackers ont souvent tendance à se focaliser sur un domaine en particulier (en 2018 par exemple, 44% des attaques étaient dirigées vers le secteur financier notamment au travers des banques ou des systèmes et moyens de paiements*).
Cette hausse notable du nombre de menaces résulte des événements annuels importants tels que le Black Friday ou les fêtes nationales. La coupe du Monde de la Fifa en Russie l’année passée a notamment fait exploser les compteurs. En effet, à cette époque, une multitude d’e-mails frauduleux mettait en avant de prétendus concours dans le but de gagner des billets tous frais payés permettant d’assister aux matchs.
2019, une réelle préoccupation pour les entreprises ?
Apparemment ! 76% des entreprises reconnaissent aujourd’hui que la sécurité informatique est un réel sujet d’inquiétude*. Car si les risques sont multiples et variés, leurs conséquences le sont tout autant. Parmi les préoccupations majeures des chefs d’entreprise, on retrouve :
- La divulgation d’informations confidentielles (63%)
- L’impact négatif sur la réputation de l’entreprise (38%)
- Les pertes d’exploitation / de chiffre d’affaires (30%)
- Les pertes financières directes (28%)
- La cyber extorsion (17%)
Certaines font directement références à l’impact financier mais cela peut tout aussi compromettre l’intégralité d’un réseau d’entreprise.
Quels modes de protection ?
Fort heureusement, il existe désormais des outils techniques permettant de diminuer le nombre de tentatives de phishing. Cependant, parce qu’elles sont de plus en plus complexes, la sensibilisation des utilisateurs pour leur apprendre à repérer les e-mails frauduleux joue un rôle crucial dans leur détection. En effet, la vigilance est le moyen le plus sûr pour se protéger. Les entreprises sont conscientes de leur exposition, mais pas des moyens qui existent pour la réduire. Aujourd’hui, 50% d’entre elles reconnaissent ne pas avoir formé leurs équipes à la sécurité informatique*. Voici donc quelques conseils pour adopter un comportement plus attentif :
- Vérifiez les adresses expéditrices et les liens URL communiqués, en bref, restez vigilant ;
- Ne saisissez pas vos informations personnelles et/ou professionnelles si vous avez un quelconque doute sur le site ;
- Méfiez-vous des e-mails au caractère urgent exigeant des actions rapides sous peine de bannissement ou de suppression de compte ;
- Soupçonnez les pièces jointes contenues dans les e-mails d’expéditeurs inconnus ;
- Si vous pensez avoir été victime d’une attaque par phishing, changez immédiatement votre mot de passe.
Il est également possible de signaler les messages douteux à Signal Spam ainsi que les sites d’hameçonnage à Phishing initiative.
Soyez-en certains, le phishing n’arrive pas qu’aux autres ! 21% des entreprises interrogées admettent avoir été victimes d’attaque informatique au cours des 12 derniers mois*. Pour savoir si vous en feriez partie, l’incubateur technologique de Google, Jigsaw, a lancé un quizz pour tester votre capacité à distinguer un e-mail de phishing et un normal. Alors, saurez-vous reconnaître une tentative d’hameçonnage ?
Auteur : Paul Montus, Chef de projet sécurité
*Sources : Verizon ; Intel Security 2015 ; IDG « 2018 US State of Cybercrime » ; Kaspersky Lab « Baromètre 2018 de la cybersécurité »