En 2023, le phishing représentait 21 % des demandes d’assistance déposées par les entreprises sur la plateforme Cybermalveillance.gouv.fr. Le phishing (ou hameçonnage) est une technique de cybercriminalité via laquelle un fraudeur tente de vous tromper en se faisant passer pour une entité légitime. Ce type de cyberattaques touche toutes les entreprises, quelles que soient leurs tailles, et peut avoir de lourdes conséquences. Découvrez ses multiples formes, les recours possibles et nos conseils pour vous protéger.
Qu’est-ce que le phishing ?
Terreur des services informatiques, le phishing regroupe les techniques frauduleuses mises en place par des cybercriminels pour dérober des données confidentielles ou financières, demander une rançon ou infecter le système informatique d’une entreprise.
L’hameçonnage peut prendre la forme de mails, d’un SMS, d’un appel téléphonique ou d’un faux site. Souvent très réalistes, ils donnent l’impression de provenir d’une source de confiance, comme une banque, un fournisseur ou un service administratif. C’est ainsi que le piège se referme.
Quelles sont les différentes formes de phishing ?
En matière de phishing, les cyber fraudeurs rivalisent d’ingéniosité. Voici quelques techniques fréquemment utilisées :
- L’email phishing est l’une des plus répandues. Son principe est simple : vous recevez un mail prétendument envoyé par une organisation légitime et contenant un lien. Si vous cliquez, vous êtes redirigé vers un site malveillant vous invitant à renseigner des données personnelles ou bancaires. Les conséquences peuvent aller du vol d’argent à celui d'informations stratégiques. L’email peut aussi contenir une pièce jointe. Si vous la téléchargez, votre ordinateur se retrouvera infecté par un malware, un logiciel conçu pour nuire à votre système informatique, ou par un ransomware, un type de malware qui bloque vos données et exige une rançon en échange de leur restitution ;
- Le smishing (ou SMS phishing) repose sur un principe similaire, mais prend la forme d’attaques par SMS frauduleux vous incitant à cliquer sur un lien malveillant ou à rappeler un numéro surtaxé ;
- Le vishing (ou phishing vocal) est un appel téléphonique destiné à vous soutirer des données sensibles en se faisant passer pour un service officiel. Le criminel va généralement tenter de vous manipuler en instaurant un climat d’urgence pour obtenir rapidement certaines informations ;
- Le spear phishing est une attaque ciblée visant une personne spécifique de votre entreprise, comme un cadre ou votre responsable informatique. L’email est donc personnalisé et peut contenir des informations précises, telles que le nom ou l’intitulé de poste de la personne visée, voire évoquer certains projets en cours pour paraître encore plus crédible ;
- Le clone phishing repose sur le clone d’un véritable e-mail que vous avez reçu. Il vous est alors renvoyé en feignant de provenir de l’expéditeur initial et contient un lien ou une pièce jointe malveillante. Ce type de phishing est donc difficile à détecter ;
- La fraude au PDG est une technique de fraude via laquelle un criminel se fait passer pour un dirigeant de l’entreprise et envoie un message à l’un de vos collaborateurs pour demander un transfert d’argent ou de données confidentielles.
Quels sont les risques liés à l'hameçonnage ?
Le phishing peut avoir d’importantes conséquences pour votre entreprise. Suite à une attaque par malware, le cybercriminel peut exfiltrer ou détruire certains de vos fichiers, désactiver vos serveurs ou manipuler vos systèmes de production, mettant en péril la continuité de vos services. Dans le cas d’un ransomware, une rançon vous sera exigée en l’échange d’un retour à la normale.
Par ailleurs, l’accès à des informations confidentielles de votre société ou de vos clients peut déboucher sur leur exploitation frauduleuse, leur revente ou leur divulgation, exposant ainsi votre entreprise à des risques légaux et financiers. L’usurpation d’identité est une autre menace, des fraudeurs pouvant signer des contrats ou réaliser des transactions illicites en votre nom.
Au-delà des impacts sur votre activité, les transferts frauduleux, les coûts liés à la récupération de vos systèmes et l'expertise parfois nécessaire pour investiguer la compromission peuvent lourdement impacter votre trésorerie. À cela s’ajoutent de possibles sanctions pour non-respect du RGPD. Enfin, la fuite de données clients peut nuire à votre réputation, affaiblir la confiance de vos partenaires et les détourner de votre entreprise.
Que faire si vous êtes victime de phishing ?
L’un de vos employés vient d’être victime de phishing ? Voici les 6 étapes à suivre pour limiter les conséquences de l’attaque et garantir une continuité de service.
Étape 1 : isolez l’attaque. Déconnectez immédiatement tous les appareils connectés de votre réseau afin d’éviter une propagation du phishing. N'éteignez pas l'appareil, car cela détruirait des traces utiles pour comprendre l'attaque et s'en prémunir. Conservez le ou les courriels électroniques ou les SMS par lesquels est arrivée l’attaque et collectez un maximum de preuves, en effectuant notamment des captures d’écran.
Étape 2 : modifiez immédiatement les identifiants des comptes affectés. Changez les mots de passe en privilégiant des formats de plus de 8 caractères mêlant chiffres, lettres majuscules et minuscules, et caractères spéciaux.
Étape 3 : signalez l’attaque aux autorités compétentes, comme la CNIL (Commission nationale de l'informatique et des libertés) et l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Vous pouvez également remonter les mails ou le SMS indésirables sur la plateforme Signal Spam ou dénoncer un site de phishing via l’outil en ligne Phishing-initiative.
Étape 4 : mobilisez votre équipe informatique pour restaurer rapidement vos systèmes, évaluer l’étendue de l’attaque et le type de données volées et identifier les vulnérabilités exploitées par les hackers.
Étape 5 : informez vos partenaires et clients concernés en cas de fuite de données confidentielles. Une communication transparente est indispensable pour limiter les dommages sur votre réputation. Bien souvent, l'impact réputationnel est dû à une mauvaise communication de crise plutôt qu'à l'attaque en elle-même.
Étape 6 : tirez les enseignements de l’incident pour éviter une future crise en adoptant des bonnes pratiques, en sensibilisant vos équipes et en renforçant la protection de vos données.
Comment prévenir le phishing ?
Renforcez la sécurité de vos systèmes informatiques
Il existe plusieurs manières de renforcer la sécurité de vos messageries électroniques. Vous pouvez par exemple installer des solutions anti-phishing, antivirus et des filtres anti-spam performants.
Vous pouvez également mieux sécuriser les accès en activant l’authentification à deux facteurs ou multifactorielle (MFA). Certaines méthodes additionnelles comme l’envoi de SMS, de notification push ou de code secret à usage unique sont également utiles. Autre conseil : mettez régulièrement à jour vos logiciels et systèmes pour corriger les failles de sécurité. Il existe également une série de réglages plus techniques. Par exemple, une bonne configuration du DMARC empêche les attaquants de se faire passer pour l'une de vos adresses mails.
Pour vous aider, les sites de l’ANSSI et Cybermalveillance.gouv.fr listent une série de recommandations de sécurité.
Adoptez les bons réflexes
Apprenez à détecter certains signaux. Si vos mails ou un SMS contiennent des fautes d'orthographe, une URL ou une pièce jointe douteuses ou un nom et une adresse suspects, signalez-le immédiatement à votre équipe informatique. De même, ne cliquez jamais sur un lien ou ouvrir une pièce jointe avant de vous être assuré de la légitimité de l’expéditeur.
De plus, changez régulièrement vos mots de passe pour garantir une plus grande protection des emails et des données de votre entreprise.
Afin de préserver l’intégrité et la sécurité de vos systèmes informatiques, programmez des sauvegardes fréquentes de vos données et organisez régulièrement des audits pour identifier et corriger les potentielles vulnérabilités.
Formez vos collaborateurs
Définissez des politiques strictes de sécurité assorties de bonnes pratiques et mettez en place des sessions de sensibilisation régulières auprès de vos collaborateurs sur les moyens de détecter les emails, appels et SMS frauduleux.
Vous pouvez également organiser des simulations d’attaques afin de tester leurs réactions et leurs connaissances. Ne blâmez pas les utilisateurs qui ont cliqué ! Cela les inciterait à cacher leurs actions la prochaine fois.
Comment Dstny peut vous aider à vous protéger contre le phishing ?
Chez Dstny, nous sommes experts en sécurité informatique pour les entreprises. Notre offre de cybersécurité vous aide à anticiper les risques et à vous protéger. Nous vous accompagnons également dans la conception de votre stratégie jusqu’à son déploiement :
- Détection et anticipation des cyberattaques : nous sommes à l’écoute de votre environnement pour répondre aux risques spécifiques auxquels vous êtes exposé ;
- Gestion des identités et sécurisation des accès : nous vous aidons à élaborer une stratégie complète pour renforcer votre politique de gouvernance des identités ;
- Protection prédictive de la messagerie d’entreprise : nous vous proposons des actions et outils pour une sécurité optimale de vos échanges ;
- Diagnostic sécurité : nous vous aidons à identifier des comportements anormaux sur tous vos environnements.
- Nous disposons d'une équipe spécialisée en cybersécurité qui surveille vos systèmes d'information en temps réel grâce à un SIEM performant et souverain.