Comment se protéger de l’hameçonnage ?

Hameçonnage, phishing, filoutage, trois mots pour désigner l’acte de cybermalveillance le plus répandu au sein des organisations.

En forte recrudescence ces dernières années en France (selon le constat du site cybermalveillance.gouv.fr) et, de manière générale, depuis l’expansion des réseaux sociaux, l’hameçonnage est une technique peu coûteuse et simple d’accès. Cette pratqiue permet aux fraudeurs d’obtenir des renseignements personnels et/ou professionnels et de commettre une usurpation d’identité.

Par ailleurs, aucune solution technique n’est efficace à 100% pour se protéger du hameçonnage et éradiquer ce problème. La prévention reste donc la meilleure solution. En effet, quelques précautions suffisent pour se protéger contre la majorité de ces cyberattaques.

Pourquoi les cybercriminels privilégient-ils le phishing ?

C’est bien connu ! En dehors de savoir envoyer un e-mail, le phishing le plus basique ne requiert aucune connaissance informatique approfondie. De plus, l’abondance d’informations diffusées sur le web, les réseaux sociaux (Instagram, Linkedin, Twitter, Facebook…) permet de récolter facilement des informations sur leur victime. Enquêter sur une “cible” devient donc un “jeu d’enfant” pour les cybercriminels.

Qui sont les hameçonneurs ?

Parmi la multitude de pirates informatiques se distinguent deux types de cybercriminels :

  • Une minorité dont les connaissances et compétences élevées en informatique leur permettent de réaliser des méfaits pointus et ciblés. Leur objectif est d’engranger, en une seule fois, un gain financier considérable.
  • et les autres – la plus grande majorité – qui utilisent des solutions “clé en main” : comme le rappelle l’ANSSI dans une communication du 31 janvier 2019, “cette profusion d’attaques est facilitée par la vente sur Internet de rançongiciels prêts-à-l’emploi (raas : ransomware-as-a-service), comme gandcrab, ryuk, samsam, dharma…”

En se faisant passer pour un expéditeur établi (institution, administration, collaborateur, fournisseur, réseau social…), l’attaquant tente de soutirer des informations personnelles et/ou professionnelles (mots de passe, identifiants de connexion…). Il peut aussi vous leurrer pour vous faire cliquer sur un lien ou fichier qui, une fois activé, introduira un malware (virus, vers, rançongiciel) sur votre poste de travail.

A titre d’exemples, le ransomware à la mairie de Sequedin, la campagne d’e-mails frauduleux à l’hôpital privé du Confluent Nantes…Ou encore, le ransomware à l’encontre de Lise Charmel, placé en redressement judiciaire depuis février 2020.

Par ailleurs, le fraudeur n’hésitera pas à exploiter tous les canaux disponibles pour vous piéger : courrier électronique, sites web falsifiés (appelé également technique du man-in-the-middle, à savoir l’imitation de la page de connexion de l’organisme tiers) ou autres moyens électroniques.

Sans scrupule, le cybercriminel ne manque pas d’imagination pour inventer des scénarios : fausse facture, offre alléchante…exigeant souvent de vous une action immédiate, suscitant des émotions, usant de techniques de manipulation multiples et variées afin de faire aboutir leur envoi de phishing. Par exemples en 2020, l’exploitation sordide du coronavirus ou, depuis plusieurs années, les arnaques de type “fraude au président”, connues également sous le nom de FOVI (Faux Ordres de Virements).

Se protéger de l’hameçonnage, c’est être responsable

A savoir qu’en cas de cyberattaque, seule votre organisation est responsable…En conséquence, nul n’est soumis à vous dédommager le montant de la fraude.

Néanmoins, si votre organisation adopte une véritable stratégie de prévention, si se protéger du hameçonnage reste l’une de ses premières priorités, le risque peut être limité.

Comment vous protéger contre le hameçonnage ?

Voici quelques recommandations pour vous protéger du hameçonnage. La prudence, l’esprit critique et la connaissance restent nos meilleurs alliés.

De manière générale :

  • Ne partagez jamais vos informations, soyez prudent lorsque vous partagez des informations personnelles ou professionnelles ;
  • Ne vous connectez jamais ailleurs que sur le site internet de votre véritable administration, institution, organisation…
  • Observez bien l’URL du lien, toute faute d’orthographe ou irrégularité doit attirer votre attention ;
  • Vérifiez que le site est sécurisé : un cadenas doit être présent dans l’URL et l’adresse du site doit commencer par HTTPS (et non HTTP) ;
  • Saisissez vos noms d’utilisateur et mots de passe uniquement quand vous utilisez une connexion sécurisée.

Concernant votre boite mail :

Certes, il arrive que le manque de temps et la fatigue engendrent une baisse de vigilance. Toutefois, prenez le temps de vous poser les bonnes questions.

Par exemple, est-ce que cet e-mail m’est réellement destiné ? Ce message évoque un dossier, une facture, un thème qui ne me parle pas ? Est-ce que je connais cet expéditeur ? Son contenu est inquiétant, déconcertant, inattendu ? Pourquoi cet expéditeur me somme-t-il de répondre dans de si brefs délais ?

En cas de doute, ne cliquez pas sur “répondre” ou “transférer”. De plus, ne cliquez jamais sur les liens ou pièces jointes des emails. Ils dirigent souvent vers une fausse page qui ressemble au site d’origine ou téléchargement d’un logiciel malveillant.

Quelques recommandations :

  • Créez-vous différentes adresses de messagerie en fonction de vos besoins : réseaux sociaux, échanges personnels…
  • Utilisez un mot de passe unique par compte ;
  • Servez-vous d’un gestionnaire de mots de passe, outil analogue à un coffre-fort dans lequel sont stockés et chiffrés l’ensemble de vos mots de passe. De plus, le gestionnaire de mots de passe est lui-même protégé par un mot de passe “maître”…le seul à retenir finalement !
  • Restez prudent lors de la communication de vos adresses électroniques professionnelle et personnelle ;
  • N’utilisez pas votre messagerie professionnelle pour un usage personnel et réciproquement ;
  • Utilisez un filtre anti-spam : en effet, vous pouvez paramétrer le dossier “indésirables” ou “spams” de votre messagerie afin que les mails douteux que vous inscrirez comme “indésirables”, soient directement dirigés dans ce dossier.

Sensibilisation et formation pour protéger votre organisation de l’hameçonnage

Vous avez une fonction liée à la gestion des risques dans votre organisation ? Vous souhaitez la protéger efficacement du hameçonnage. Menez une campagne de sensibilisation à la cybersécurité.

En matière de sécurité, la CNIL préconise de “faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée”.

En effet, la prévention auprès des utilisateurs revêt un caractère stratégique pour réduire le nombre de cas d’hameçonnage. Et pour cause : dans 80% des cas, c’est l’action d’un utilisateur sur son poste, souvent réalisée de manière involontaire, qui est à l’origine des cyberattaques.

Aussi, organiser une campagne de sensibilisation pour se protéger de l’hameçonnage est l’occasion de rappeler les règles de sécurité de base. Pour ce faire, vous pouvez animer des séances de formation et de sensibilisation à la sécurité. Par exemple, en envoyant régulièrement des e-mails de phishing inoffensifs aux employés et tester ainsi la vigilance de votre équipe.

L’humain au coeur de la stratégie de cybersécurité

Impliquer l’individu dans sa stratégie de cybersécurité consiste à prendre conscience que les êtres humains sont aussi importants que les technologies.

En effet, ces dernières ne nous protègent que partiellement des risques liés à l’hameçonnage. Face à la multiplication et la diversification des cyberattaques, l’éradication totale du phishing est impossible. Acquérir une culture de la cybersécurité doit donc être une priorité pour les organisations.

Il est donc essentiel que chaque utilisateur soit sensibilisé à ce fléau et formé pour savoir comment se protéger de l’hameçonnage.