Sélectionner une page

Sécurité des données : les violations sont devenues de plus en plus fréquentes.

Phishing : 93% des violations de sécurité des réseaux

Cette technique est une approche malhonnête qui consiste à « pêcher » des victimes en leur envoyant des emails frauduleux. Ainsi, le malfaisant fait croire à la victime qu’elle communique avec une personne de confiance dans le but de lui soutirer des informations personnelles. Ainsi, ces informations confidentielles lui permettent de tenter de récupérer de l’argent…. En conséquence, toute personne ayant une adresse email a forcément déjà été exposée à une attaque de phishing.

Sécurité des données : le phishing s’organise pour cibler les PME …

Pour le particulier, c’est assez simple à décrypter car on commence à être averti de ce genre de technique souvent grossière. Néanmoins, 20% des destinataires cliquent sur tous les mails qui arrivent dans leur boîte aux lettres. Je conseille de la vigilance et de bien observer l’adresse mail de l’expéditeur (nom de domaine, par exemple) pour déjouer cet hameçonnage.

En revanche, pour l’entreprise, même si celle-ci est bien plus sensibilisée à la sécurité de ses données, elle reste une cible majeure du spear phishing. En effet, toutes ces attaques sont bien plus « performantes » lorsqu’elles sont personnalisées et envoyées individuellement. Ce qui devient vraiment étonnant voire très inquiétant, c’est avec quelle minutie les malfaisants prennent le temps de cibler une seule victime. Méthodiquement, ils cherchent à :

  • observer des échanges de mails,
  • collecter les expressions écrites,
  • prendre des notes sur les habitudes de l’entreprise.

Toute cette mécanique sophistiquée permet au fraudeur de mettre en branle la sécurité des données. Il peut leurrer son interlocuteur de manière « indolore ».

Une pratique déjà expérimentée au sein de plusieurs entreprises

Par exemple, le fraudeur cible une personne. Il observe ses relations régulières avec un fournisseur (mail, site web, collecte d’informations par téléphone). Il se glisse dans la peau de ce fournisseur. il lui reste juste à indiquer à sa cible que le RIB a changé et au prochain règlement de factures, le montant part directement sur le compte détourné. D’autres exemples, plus sophistiqués, adoptent la même approche : recherche d’une organisation, d’une personne à cibler, et envoi d’une série d’emails pour établir un climat de confiance avec la cible.

Lorsque des relations professionnelles s’inscrivent dans la confiance, certains process ne sont pas toujours respectés. Ainsi, lorsque le malfaisant s’appuie sur cette confiance, il rentre dans la peau des victimes. Il a toutes ses chances d’aboutir. Il faut redoubler de vigilance, voire de méfiance, et se tenir informé des dernières techniques adoptées.

Très souvent, ces cas restent secrets car il est très difficile d’avouer que la personne, l’organisation s’est faite piéger.

Comment vous protéger contre le phishing ?

Trois conseils pour vous protéger contre le phishing :

  • Avoir un environnement informatique sécurisé qui vous protège contre la collecte d’informations : Une politique de sécurité des données intégrant :
    • Anti-virus à jour en continu : attention, ce n’est pas toujours le cas en fonction du choix de votre anti-virus et de la méthodologie de mise à jour. Est-ce que ce point est piloté par votre responsable informatique ou votre prestataire ?
    • Avoir un « strong » mot de passe qui change régulièrement
    • Et d’autres bonnes pratiques comme le cryptage des informations, le cryptage de la messagerie, ou des solutions qui sont en cours de développement pour lutter contre le spear phishing.
  • Avoir une politique de sensibilisation forte des utilisateurs avertis : quelques exemples :
    • Un préalable : la prise de conscience des utilisateurs
    • Méfiance sur les courriers reçus des fournisseurs, bien vérifier la véracité des informations
    • Pas d’achat sur des sites web non sécurisés – c’est-à-dire avec obligatoirement une adresse commençant par : « https».
    • Méfiance concernant les courriels douteux : ne cliquez pas sur les pièces jointes ou sur les liens qu’ils contiennent ! Connectez-vous en saisissant l’adresse officielle dans la barre d’adresse de votre navigateur.
    • Ne communiquez jamais votre mot de passe.
  • Avoir une politique de transparence. L’autre jour, j’ai navigué sur un site web qui a eu le courage de mettre un message à l’ouverture de la page de son site en indiquant qu’ils avaient été victimes d’usurpation d’identité et qu’ils invitaient leur réseau à la plus extrême vigilance.

A consulter également, des fiches pratiques sur le site du gouvernement.