Des rapports récents ayant identifié le phishing comme l'un des problèmes les plus persistants et les plus répandus dans le domaine de la cybersécurité, il est important de comprendre non seulement le niveau de risque auquel votre organisation est confrontée, mais aussi la meilleure façon d'atténuer ce risque.
Les escroqueries par hameçonnage existent depuis un certain temps déjà, mais elles ne montrent aucun signe de ralentissement dans l'immédiat. Au contraire, elles sont en constante évolution. Au quatrième trimestre 2016, on a constaté une augmentation de 45 % des attaques de compromission d'e-mails professionnels (BEC) par rapport au quatrième trimestre 2015. Cela signifie que les cybercriminels misent davantage sur l'exploitation du facteur humain au sein de votre organisation vs le déploiement de chevaux de Troie et de cyberattaques automatisées.
Alors, comment pouvez-vous protéger votre entreprise contre une attaque de phishing ?
1. Formation de sensibilisation au phishing pour les employés
C'est peut-être un cliché, mais c'est vrai : vos employés sont votre meilleure défense en matière de cybersécurité générale et de protection de votre organisation contre une attaque de phishing. Nous avons récemment été témoins de la colossale attaque par ransomware WannaCry. Cette attaque a montré comment un simple courriel de phishing, sur lequel un employé peu méfiant a cliqué, peut suffire à déclencher une cyberattaque majeure qui peut rapidement infecter un réseau entier. Cette attaque a démontré à quel point votre pare-feu humain est vital dans votre système de sécurité plus large. Par conséquent, il est très important d'investir dans une formation en ligne de qualité sur la cybersécurité pour apprendre à repérer les courriels suspects et à prendre des mesures lorsque vous êtes victime d'une escroquerie par hameçonnage. De même, vous pouvez investir dans des exercices de simulation de phishing pour votre organisation en utilisant notre produit sophistiqué MetaPhish.
2. Assurez-vous que vous disposez d'un bon dispositif de protection contre le spam et de gestion unifiée des menaces (UTM).
Il va sans dire que pour qu'une organisation soit protégée au maximum contre une arnaque de phishing, il est nécessaire d'employer différents types de sécurité. L'investissement peut sembler lourd aujourd'hui, mais doubler ou tripler vos méthodes de cyberprotection pourrait vous faire gagner beaucoup de temps et d'argent à long terme ! Les anti-spam et les UTM de haute qualité, achetés auprès de noms réputés sur le marché, sont indispensables pour toute organisation cherchant à lutter contre les attaques de phishing, car la majorité de ces courriels frauduleux seront pris dans les filets. Toutefois, comme certains de ces courriels sont très sophistiqués, il est important de savoir que les dispositifs anti-spam ne constituent pas à eux seuls la solution ultime et que la formation des employés est également cruciale.
3. Mettre en place des directives pour les employés
Vous devez disposer d'un registre clair et sécurisé des informations qui sont sensibles et ne doivent pas être divulguées. Vous devez également limiter le nombre d'employés ayant accès à ces données afin de minimiser le risque qu'elles soient divulguées ou remises à des cybercriminels par le biais d'un courriel de phishing. Des directives claires doivent être mises en place pour indiquer aux employés comment ils doivent traiter les informations importantes de l'entreprise. Il est également judicieux de mettre en œuvre des politiques basées sur ces directives afin de sensibiliser l'ensemble de l'entreprise et de démontrer que vos employés sont au courant.
4. Mettre en œuvre une politique de sécurité des informations personnelles
Afin de minimiser les risques, il est utile d'envisager la mise en œuvre d'une politique stipulant que toutes les informations sensibles, par exemple les coordonnées bancaires de l'entreprise, ne peuvent être communiquées de manière sécurisée que par téléphone ou en utilisant des sites web https avec des moyens de paiement sécurisés, jamais par courrier électronique. S'assurer que vos employés sont conscients que le courrier électronique est un moyen risqué d'accéder aux informations sensibles de l'entreprise est essentiel pour réduire le risque encouru, car vous ne pouvez pas être sûr de la personne qui se trouve à l'autre bout du fil. Lorsque des virements bancaires sont demandés par e-mail (comme c'est souvent le cas lors d'attaques sophistiquées de spear phishing), la meilleure pratique consiste à toujours appeler directement la personne concernée et à vérifier que la demande émane bien d'elle. Faites-en une pratique courante et vous réduirez considérablement vos risques.
5. Changez régulièrement vos données de connexion aux comptes et utilisez des données de connexion différentes pour chaque compte.
Le dicton de MetaCompliance est "Les mots de passe sont comme les pantalons" et c'est vrai.
Changez régulièrement vos mots de passe et vos données de connexion et ne les laissez pas traîner ! Plus vous changez fréquemment vos données de connexion aux comptes de l'entreprise, moins les pirates (qui ont peut-être eu accès à vos comptes par le passé) ont de chances de revenir sans cesse pour glaner d'autres informations. De même, avoir un seul ensemble d'informations de connexion pour tous les comptes de l'entreprise est une mauvaise idée ! Pensez-y : n'auriez-vous qu'un seul passe-partout pour accéder à toutes les pièces de votre entreprise ? Dans le cas malheureux où un pirate parviendrait à accéder à un compte en utilisant des informations obtenues par un e-mail de phishing, vous pouvez être sûr qu'il utilisera les mêmes informations pour essayer de pirater vos autres comptes. Ne leur facilitez pas la tâche !
Avez-vous d'autres méthodes pour protéger votre entreprise contre les attaques de phishing ? Ou y a-t-il d'autres approches d'entreprise contre ces types de cyber-attaques que vous pourriez voir apparaître à l'avenir.
