Cyberattaques : comprendre et se protéger du phishing (hameçonnage)

Nos dossiers pro
4 min de lecture

Connaissez-vous la pratique du phishing, également appelée hameçonnage ? Elle fait partie des cyberattaques les plus répandues et touche les entreprises.

Connaissez-vous la pratique du phishing, également appelée hameçonnage ? Elle fait partie des cyberattaques les plus répandues et touche les entreprises.

Cyberattaques : comprendre et se protéger du phishing (hameçonnage)

Avec l’augmentation constante des attaques de phishing, savoir comment protéger les informations et données sensibles de votre entreprise doit être votre priorité en matière de sécurité.

Le phishing, ou « hameçonnage » en français, est un type de cyberattaque dans laquelle une communication (messages, mail…), provenant prétendument d’une source légitime ou que vous connaissez (banque, réseau social, site Web, application de paiement en ligne, facture sur internet, etc.) est envoyée pour obtenir des informations et des données personnelles d’un employé ou d’une entreprise (mots de passe, code, numéro de comptes bancaires, comptes d’accès, etc.). De plus, le phising peut ouvrir la porte à d'autres attaques comme les ransomware.

Si le phishing passe le plus souvent par internet et notamment les courriers électroniques, il est également possible d’utiliser le téléphone (vishing) et les SMS (smishing) pour ces attaques.

Selon les derniers chiffres de la plateforme Cybermalveillance.gouv.fr, l’hameçonnage a connu en 2021 une forte remontée dans le classement des menaces auxquelles sont confrontées les entreprises, passant de la 7e à la 3e place en un an, soit une progression des attaques de +86 %. Il s’agit donc d’une pratique courante à laquelle vous devez vous familiariser, en tant que chef d’entreprise, pour la sécurité de vos données afin de comprendre les dangers que le phishing représente pour votre entreprise et les moyens de les éviter.

  Comment reconnaître le phishing (hameçonnage) ?

Si les escrocs mettent régulièrement à jour leurs techniques de phishing pour voler des informations, certains signes simples peuvent vous aider à les identifier : fautes d’orthographe dans le message, incohérences dans les adresses électroniques, les liens et les noms de domaine, pièces jointes suspectes, messages inhabituellement urgents, demande de paiement, etc. Il existe également des types d’attaques de phishing assez courants qui impactent votre cybersécurité :

Arnaque au faux support technique

Ces e-mails d’hameçonnage prétendent que vous avez un logiciel malveillant sur votre ordinateur. Pour régler le problème, il vous sera généralement demandé dans le message, d’installer un logiciel d'accès à distance qui installera en cliquant sur un lien, un véritable logiciel malveillant à la place.

Clone phishing

Le Clone phishing consiste à créer des copies malveillantes, presque identiques, d’emails légitimes provenant de sources fiables, afin d’inciter la victime à partager ses informations privées à son insu.

Spear phishing

Ce hameçonnage lance des attaques ciblées sur internet contre des personnes ou des entreprises spécifiques. Ses instigateurs mènent des recherches sur l’employé ou l’entreprise visées afin de découvrir des détails personnalisés qui donnent de la crédibilité à leur message.

Whale phishing

Également appelé « fraude au président », cette « chasse à la baleine » désigne des attaques visant spécifiquement à déstabiliser la cybersécurité des cadres supérieurs et d’autres cibles très en vue.

  Comment se protéger des attaques de phishing ?

Pour vous prémunir des attaques de phishing, il est essentiel de mettre en place dans votre entreprise, certains outils et certaines mesures pour améliorer sa sécurité :

  • Installer des logiciels de cybersécurité (programmes antivirus, filtres anti-spam et programmes de pare-feu, etc.) ;
  • Maintenir vos logiciels et applications à jour ;
  • Sécuriser le télétravail, notamment via un VPN ;
  • Programmer des sauvegardes régulières sur des disques durs externes ou le cloud ;
  • Ne jamais communiquer d’informations sensibles par messagerie, mail ou téléphone ;
  • Appliquer des règles pour les mots de passe sur le web (changements réguliers, règles régissant les mots de passe autorisés, etc.)
  • Utiliser l’authentification multifactorielle pour toute connexion aux comptes de votre entreprise.
  • Contacter directement l’organisme concerné pour vérifier qu’il est bien à l’origine du message, mail, ou de l’appel reçu.
  Que faire si vous êtes victime d’une attaque de phishing ?

Si malgré ces mesures vous pensez avoir été victime de phishing, voici les détails de la marche à suivre pour améliorer votre cybersécurité :
Etape 1 : Déconnectez-vous d’Internet
Si pour le web, vous utilisez une connexion filaire, débranchez le câble Internet de votre appareil, si vous êtes connecté au Wifi, déconnectez-vous de votre réseau ou éteignez votre routeur. Ainsi, vous réduirez le risque de propagation du logiciel malveillant dont vous avez été victime aux autres appareils de votre réseau informatique.

Etape 2 : Sauvegardez vos données
Il est essentiel de sauvegarder vos fichiers et vos données sur un disque dur externe ou un service de stockage en cloud, au cas où ils seraient effacés lors du processus de récupération suite à l’attaque de phishing.

Etape 3 : Changez vos identifiants
Si vous avez cliqué sur un lien qui vous a dirigé vers un faux site Web où vous avez fait des tentatives de connexion, il est indispensable pour votre sécurité de changer immédiatement votre nom d'utilisateur et votre mot de passe.

Etape 4 : Analysez votre système pour détecter les logiciels malveillants
Pour les moins avertis, il peut être judicieux de confier cette tâche à un professionnel afin qu’il procède à une analyse complète de votre parc informatique pour détecter tout logiciel malveillant ou virus.

Etape 5 : Signalez la cyberattaque dont vous êtes victime auprès des autorités compétentes.
Vous pouvez notamment le faire sur la plateforme gouvernementale PHAROS (Plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements) et auprès de la gendarmerie.

Saviez-vous qu’Orange dispose de solutions de cybersécurité adaptées aux besoins professionnels ? L’option Cyberfiltre Avancé, que vous pouvez associer à votre offre mobile, est idéale pour protéger vos données et naviguer en toute sécurité sur internet sans craindre d’être exposé directement à des risques de cyberattaques comme le phishing.

L’option Cyber Protection quant à elle, vous permet de vous reposer sur un antivirus pro performant qui combine intelligence artificielle et humaine 24/7.