Des rapports récents identifient le phishing comme l’un des problèmes les plus persistants et les plus répandus dans le domaine de la cybersécurité. Il est donc important de comprendre non seulement le niveau de risque auquel votre organisation est confrontée, mais aussi la meilleure façon de réduire ce risque.

Les escroqueries par hameçonnage existent depuis un certain temps déjà, mais elles ne montrent aucun signe de ralentissement de sitôt. Au contraire, elles sont en constante évolution. Au quatrième trimestre 2016, un  Augmentation de 45% des attaques de type Business Email Compromise (BEC) par rapport au 4ème trimestre 2015. Cela signifie que les cybercriminels misent davantage sur l’exploitation du facteur humain au sein de votre organisation que sur le déploiement de chevaux de Troie et de cyberattaques automatisées.

Comment pouvez-vous donc protéger votre entreprise contre une attaque de phishing ?

1. Sensibilisation des employés à l’hameçonnage

C’est peut-être un cliché, mais c’est vrai : vos employés sont votre meilleure défense lorsqu’il s’agit de cybersécurité générale et de protéger votre organisation d’une attaque terroriste. attaque par hameçonnage. Nous avons récemment été témoins de l’attaque colossale du ransomware WannaCry. Cette attaque a mis en évidence le fait qu’un simple courriel d’hameçonnage, sur lequel un employé peu méfiant clique, peut suffire à déclencher une cyber-attaque majeure qui peut rapidement infecter un réseau entier. Cette attaque a démontré à quel point votre pare-feu humain est vital au sein de votre système de sécurité global. Par conséquent, il est très important d’investir dans une formation en ligne de qualité sur la cybersécurité, qui explique comment repérer les courriels suspects et quelles sont les mesures à prendre lorsque vous êtes victime d’une escroquerie par hameçonnage. De même, vous pouvez investir dans des exercices de simulation de phishing pour votre organisation en utilisant notre produit sophistiqué MetaPhish.

2. Assurez-vous que vous disposez d’un bon dispositif de protection contre les spams et de gestion unifiée des menaces (UTM).

Il va sans dire que pour qu’une organisation soit protégée autant que possible contre une escroquerie par hameçonnage, il est nécessaire d’utiliser différents types de sécurité. L’investissement peut sembler élevé aujourd’hui, mais doubler ou tripler vos méthodes de cyberprotection pourrait vous faire gagner beaucoup de temps et d’argent à long terme ! Des dispositifs anti-spam et des UTM de haute qualité, achetés auprès de marques réputées sur le marché, sont indispensables pour toute organisation cherchant à lutter contre les attaques par hameçonnage, car la majorité de ces courriels frauduleux sont pris dans les mailles du filet. Cependant, comme certains de ces courriels sont très sophistiqués, il est important d’être conscient que les protections anti-spam ne sont pas la réponse ultime et que la sensibilisation des employés est également cruciale.

3. Mettre en œuvre les lignes directrices à l’intention des employés

Vous devez disposer d’un registre clair et sécurisé des informations sensibles qui ne doivent pas être divulguées. Vous devez également limiter le nombre d’employés ayant accès à ces données afin de minimiser le risque qu’elles soient divulguées ou remises à des cybercriminels par l’intermédiaire d’un site web.  un courriel d’hameçonnage. Des lignes directrices claires doivent être mises en place pour indiquer aux employés comment traiter les informations importantes de l’entreprise. Il est également judicieux de mettre en œuvre des politiques basées sur ces lignes directrices afin de sensibiliser l’ensemble de l’entreprise et de montrer que vos employés sont au courant.

4. Mettre en œuvre une politique de sécurisation des données personnelles

Afin de minimiser les risques, il est utile d’envisager la mise en œuvre d’une politique stipulant que toutes les informations sensibles, par exemple les coordonnées bancaires de l’entreprise, ne peuvent être communiquées de manière sécurisée que par téléphone ou en utilisant des sites web https dotés de moyens de paiement sécurisés, et jamais par courrier électronique. Il est essentiel de veiller à ce que vos employés sachent que le courrier électronique est un moyen risqué d’accéder à des informations sensibles de l’entreprise pour réduire le risque encouru, car vous ne pouvez pas savoir avec certitude qui se trouve à l’autre bout du fil. Lorsque des virements bancaires sont demandés par courrier électronique (comme c’est souvent le cas dans les attaques sophistiquées de spear phishing), la meilleure pratique consiste à toujours appeler directement la personne concernée et à vérifier que la demande émane bien d’elle. En adoptant cette pratique courante, vous réduirez considérablement les risques.

5. Modifiez régulièrement les détails de connexion à vos comptes et utilisez des détails de connexion différents pour chaque compte.

Chez MetaCompliance, on dit que les mots de passe sont comme des pantalons et c’est vrai.
Changez régulièrement vos mots de passe et vos données de connexion et ne les laissez pas traîner ! Plus vous changez fréquemment vos données de connexion aux comptes de votre entreprise, moins les pirates (qui ont peut-être eu accès à vos comptes par le passé) ont de chances de revenir encore et encore pour glaner davantage d’informations. De même, avoir un seul jeu d’identifiants de connexion pour tous les comptes de l’entreprise est une mauvaise idée ! Pensez-y : auriez-vous un seul passe-partout qui vous donnerait accès à toutes les pièces de votre entreprise ? Si, par malheur, un pirate informatique parvient à accéder à un compte en utilisant des informations obtenues par le biais d’un courriel d’hameçonnage, vous pouvez être certain qu’il utilisera les mêmes informations pour tenter de pirater vos autres comptes. Ne leur facilitez pas la tâche !

Avez-vous d’autres méthodes pour protéger votre entreprise contre les attaques de phishing ? Ou y a-t-il d’autres approches d’entreprise pour ces types de cyber-attaques que vous pourriez voir apparaître à l’avenir ?