Avec l'augmentation constante des attaques de phishing, savoir comment protéger les informations et données sensibles de votre entreprise doit être votre priorité en matière de sécurité.
Le phishing, ou « hameçonnage » en français, est un type de cyberattaque dans laquelle une communication (messages, mail…), provenant prétendument d'une source légitime ou que vous connaissez (banque, réseau social, site Web, application de paiement en ligne, facture sur internet, livraison de colis, etc.) est envoyée pour obtenir des informations et des données personnelles d'un employé ou d'une entreprise (mots de passe, code, numéro de comptes bancaires, comptes d'accès, etc.). De plus, le phishing peut ouvrir la porte à d'autres attaques comme les ransomware.
Si le phishing passe le plus souvent par internet et notamment les courriers électroniques, on constate que les attaques visent aussi nos mobiles via les SMS (smishing) ou un appel téléphonique (vishing) vous pressant de confirmer vos données personnelles ou celles de votre entreprise.
Selon les derniers chiffres de la plateforme Cybermalveillance.gouv.fr, l'hameçonnage a connu en 2021 une forte remontée dans le classement des menaces auxquelles sont confrontées les entreprises, passant de la 7e à la 3e place en un an, soit une progression des attaques de +86 %. Il s'agit donc d'une pratique courante à laquelle vous devez vous familiariser, en tant qu'entrepreneur, pour la sécurité de vos données afin de comprendre les dangers que le phishing représente pour votre entreprise et les moyens de les éviter.
Si les escrocs mettent régulièrement à jour leurs techniques de phishing pour voler des informations, certains signes simples peuvent vous aider à les identifier : fautes d'orthographe dans le message, incohérences dans les adresses électroniques, les liens et les noms de domaine, pièces jointes suspectes, messages inhabituellement urgents, demande de paiement, etc. Il existe également des types d'attaques de phishing assez courants qui impactent votre cybersécurité :
Arnaque au faux support technique
Ces e-mails d'hameçonnage prétendent que vous avez un logiciel malveillant sur votre ordinateur. Pour régler le problème, il vous sera généralement demandé dans le message, d'installer un logiciel d'accès à distance qui installera en cliquant sur un lien, un véritable logiciel malveillant à la place.
Clone phishing
Le Clone phishing consiste à créer des copies malveillantes, presque identiques, d'emails légitimes provenant de sources fiables, afin d'inciter la victime à partager ses informations privées à son insu.
Spear phishing
Ce hameçonnage lance des attaques ciblées sur internet contre des personnes ou des entreprises spécifiques. Ses instigateurs mènent des recherches sur l'employé ou l'entreprise visées afin de découvrir des détails personnalisés qui donnent de la crédibilité à leur message.
Whale phishing
Également appelé « fraude au président », cette « chasse à la baleine » désigne des attaques visant spécifiquement à déstabiliser la cybersécurité des cadres supérieurs et d'autres cibles très en vue.
Pour vous prémunir des attaques de phishing, il est essentiel de mettre en place dans votre entreprise, certains outils et certaines mesures pour améliorer sa sécurité :
- Installer des logiciels de cybersécurité (programmes antivirus, filtres anti-spam et programmes de pare-feu, etc.) en prenant garde à ne pas choisir de solutions gratuites qui n'offrent aucune garantie ;
- Maintenir vos logiciels et applications à jour ;
- Sécuriser le télétravail, notamment via un VPN ;
- Souscrivez auprès d'un assureur un contrat cyber risques
- Programmer des sauvegardes régulières sur des disques durs externes ou le cloud ;
- Ne jamais communiquer d'informations sensibles par messagerie, mail ou téléphone ;
- Appliquer des règles pour les mots de passe sur le web (changements réguliers, règles régissant les mots de passe autorisés, etc.)
- Utiliser l'authentification multifactorielle pour toute connexion aux comptes de votre entreprise.
- Contacter directement l'organisme concerné pour vérifier qu'il est bien à l'origine du message, mail, ou de l'appel reçu.
Si malgré les mesures de précautions listées ci-dessus, vous pensez avoir été victime de phishing, voici les détails de la marche à suivre pour améliorer votre cybersécurité :
Etape 1 : Déconnectez-vous d'Internet
Si pour le web, vous utilisez une connexion filaire, débranchez le câble Internet de votre appareil, si vous êtes connecté au Wifi, déconnectez-vous de votre réseau ou éteignez votre routeur. Ainsi, vous réduirez le risque de propagation du logiciel malveillant dont vous avez été victime aux autres appareils de votre réseau informatique.
Etape 2 : Informez votre banque
Si vous pensez que vos données bancaires ont été exposées ou partagées, alertez votre banque dans les plus brefs délais qui vous informera des démarches à suivre.
Etape 3 : Changez vos identifiants et mots de passe
Si vous avez cliqué sur un lien qui vous a dirigé vers un faux site Web où vous avez fait des tentatives de connexion, il est indispensable pour votre sécurité de changer immédiatement votre nom d'utilisateur et votre mot de passe, depuis un autre équipement, comme un mobile ou un autre ordinateur.
Etape 4 : Faites analyser votre système pour détecter les logiciels malveillants
Pour les moins avertis et surtout pour vous offrir des garanties de résultat, il peut être judicieux de confier cette tâche à un professionnel afin qu'il procède à une analyse complète de votre parc informatique pour détecter tout logiciel malveillant ou virus.
Etape 5 : Signalez la cyberattaque dont vous êtes victime auprès des autorités compétentes
En cas de suspicion d'attaque par phishing, le site cybermalveillance.gouv.fr permettra de faire un diagnostic pour être redirigé vers des solutions correspondantes personnalisées et de l'aide professionnelle. La plateforme Pharos, quant à elle, sert à déclarer des contenus illicites (haine en ligne, terrorisme, violence, pédophilie, trafic, cruauté envers les animaux, escroquerie.).
Etape 6 : Informez votre assurance.
Si votre contrat d'assurance professionnel contient un volet de protection en cas de cyberattaque, vous devez déclarer votre sinistre, muni d'un dépôt de plainte, dans les 72h qui suivent le constat.
Saviez-vous qu'Orange dispose de solutions de cybersécurité adaptées aux besoins professionnels ? L'option Cyberfiltre Avancé, que vous pouvez associer à votre offre mobile, est idéale pour protéger vos données et naviguer en toute sécurité sur internet sans craindre d'être exposé directement à des risques de cyberattaques comme le phishing.
L'option Cyber Protection quant à elle, vous permet de vous reposer sur un antivirus pro performant qui combine intelligence artificielle et humaine 24/7.