Comment se protéger du phishing : 10 façons de prévenir les escroqueries par hameçonnage

Comment se protéger du phishing et des escroqueries en ligne ? À l'ère numérique actuelle, la protection contre l'hameçonnage est essentielle pour sécuriser votre entreprise. Le phishing est une méthode insidieuse et cynique employée par les pirates informatiques pour promouvoir leurs activités malveillantes. Il est rare de trouver quelqu'un qui n'ait jamais rencontré un courriel de phishing sous une forme ou une autre. Les cybercriminels utilisent cette technique pour implanter des logiciels malveillants, voler des informations d'identification et pour mener des escroqueries telles que la compromission d'e-mails professionnels (Business Email Compromise - BEC).

Un rapport de CISCO sur les tendances des menaces de cybersécurité en 2021 positionne le phishing et le crypto-mining comme les deux principales menaces pour les entreprises. Le rapport révèle également que 86 % des employés des organisations cliquent sur des liens de phishing.

Il est crucial de se défendre contre les escroqueries par hameçonnage afin de garantir la sécurité de votre organisation, car 90 % des violations de données découlent d'attaques par phishing. Voici 10 méthodes pour vous assurer que votre organisation ne devienne pas une victime de l'escroquerie par hameçonnage.

10 façons de se protéger contre les escroqueries par hameçonnage

1. Comment se protéger du phishing : comprendre les tactiques du phishing

Les cybercriminels travaillent d'arrache-pied pour rendre les courriels de phishing authentiques. En conséquence, les escroqueries par hameçonnage deviennent de plus en plus sophistiquées et ciblent souvent des personnes et des entreprises spécifiques. Une campagne de phishing ciblée est appelée spear-phishing. Cette forme d'hameçonnage implique la collecte d'informations pour personnaliser les courriels d'hameçonnage, les rendant ainsi difficiles à distinguer des courriels légitimes.

Tous les employés d'une entreprise doivent être formés pour reconnaître les signes caractéristiques du phishing. Les campagnes de phishing personnalisées utilisent souvent des marques commerciales bien connues, telles que Microsoft Office 365, pour dissimuler habilement une arnaque de phishing.

Les plateformes de simulation de phishing sont un moyen idéal pour former les employés à repérer les tentatives de phishing. De plus, les plateformes avancées de simulation de phishing permettent à une entreprise d'adapter ces simulations en fonction des rôles au sein de l'organisation, ce qui rend les tentatives de phishing, même les plus sophistiquées, évitables.

2. Éviter de cliquer sur des liens inconnus

Les utilisateurs finaux et les consommateurs sont souvent incités par des tactiques astucieuses à cliquer sur des liens pour simplifier leur expérience en ligne. Cependant, les cybercriminels exploitent ce comportement.

Pour prévenir les cyberattaques, il est essentiel de mettre un frein à l'impulsion de cliquer. Une règle simple peut faire la différence entre la prévention d'une cyberattaque et devenir une victime de la cybercriminalité : "Ne cliquez jamais sur un lien contenu dans un courrier électronique si vous n'êtes pas certain à 100 % de sa légitimité." Lorsqu'un courriel ou un message texte comporte un lien, prenez toujours un moment pour réfléchir avant de cliquer dessus.

3. Ne pas télécharger de pièces jointes non vérifiées

Cela semble évident, pourtant, il arrive encore que des employés ouvrent des pièces jointes, mettant ainsi en péril la sécurité de leur organisation en introduisant des logiciels malveillants. Ne téléchargez en aucun cas une pièce jointe à moins d'être absolument certain à 100 % de son authenticité.

Une attaque récente de phishing illustre à quel point les attaques utilisant des pièces jointes infectées sont devenues sophistiquées. La campagne de phishing SVCReady a exploité une méthode particulière au sein d'un document Microsoft Word, connue sous le nom de "shellcode", pour délivrer un chargeur sur une machine ciblée. Une fois que la machine est infectée, elle devient un outil pour collecter des informations sensibles, établir un contrôle à distance, et, en général, elle reste en mode latent jusqu'à ce que l'attaquant décide d'agir en installant d'autres logiciels malveillants et/ou en volant des données.

4. Limiter les informations partagées sur les médias sociaux

Les cybercriminels recueillent des informations sur leurs cibles afin de personnaliser leurs attaques de phishing et augmenter leurs chances de tromper les destinataires. Les médias sociaux sont un réservoir idéal d'informations pour le phishing. Les cybercriminels effectuent des recherches sur l'entreprise et ses employés pour recueillir des données utilisables dans des campagnes de spear-phishing.

Les médias sociaux sont également un endroit où le partage excessif peut entraîner la divulgation de mots de passe. Par exemple, une étude a identifié une pratique courante de partage de mots de passe sur des canaux de collaboration non sécurisés tels que Slack. Assurez-vous que vos employés comprennent les dangers de communiquer des données privées et des mots de passe sur des canaux tels que Slack, Discord et les plateformes de médias sociaux.

5. Prêter attention à la gestion des mots de passe

Le partage et la réutilisation de mots de passe augmentent les risques d'une campagne de phishing aboutissant à la compromission de données et de systèmes informatiques. Le partage de mots de passe est un problème majeur en entreprise. Selon une enquête de Google, 62 % des personnes réutilisent leurs mots de passe, et 52 % les utilisent pour accéder à plusieurs comptes.

De plus, 34 % des employés partagent leurs mots de passe avec leurs collègues. Si les mots de passe circulent et sont réutilisés, les individus sont moins susceptibles de les considérer comme un élément de sécurité essentiel et adoptent une attitude négligente envers la sécurité des mots de passe. Faites de l'hygiène des mots de passe un point central de la formation à la sensibilisation à la sécurité.

6. Mettre à jour en temps opportun

Les campagnes de phishing par courrier électronique reposent souvent sur l'exploitation de vulnérabilités de sécurité. Par exemple, l'attaque de phishing Zimbra en 2021 a exploité les vulnérabilités du client de messagerie Zimbra via un e-mail de phishing. Il est donc essentiel de veiller à ce que les applications logicielles soient mises à jour rapidement pour maintenir la résistance au phishing.

7. Gérer les comptes obsolètes

Les anciens comptes en ligne sont utiles aux cybercriminels, qui peuvent les utiliser pour créer des fausses identités et commettre des fraudes. Ces comptes peuvent également être utilisés dans le cadre d'une escroquerie BEC ou pour obtenir des informations en vue d'autres cyberattaques.

Si vous avez un ancien compte de messagerie ou un compte en ligne que vous n'utilisez plus, fermez-le ou réactivez-le et surveillez-le régulièrement. Veillez à changer fréquemment le mot de passe et consultez HaveIBeenPwnd pour savoir si un compte de messagerie ou un mot de passe a été compromis lors d'une violation de données.

8. Utiliser l'authentification à deux facteurs (2FA), mais avec précaution

Il est recommandé d'appliquer l'authentification à deux facteurs (2FA) chaque fois que cela est possible pour se protéger contre les escroqueries par hameçonnage. Cependant, le 2FA ne garantit pas à lui seul la prévention des attaques de phishing, mais il réduit considérablement le risque.

Un 2FA mal configuré peut s'avérer inefficace pour empêcher les attaques de phishing. Utilisez le 2FA, mais accompagnez-le d'une formation en sensibilisation à la sécurité.

9. Signaler toute activité suspecte

Encouragez les employés à signaler tout courriel ou message suspect pour éviter qu'un incident ne se produise. Créez un environnement propice à la coopération en matière de sécurité. Gardez une porte ouverte et soyez réceptif aux employés qui peuvent commettre l'erreur de cliquer sur un lien malveillant, en leur donnant l'assurance qu'ils peuvent signaler une erreur.

Le signalement des incidents contribuera à protéger votre organisation contre les escroqueries par hameçonnage, mais cela doit être simple et s'appuyer sur un système de signalement avancé, capable d'offrir des options de triage.

10. Envisager l'utilisation d'outils anti-phishing

La formation à la sensibilisation à la sécurité fait partie intégrante d'un ensemble de mesures plus large visant à se protéger contre les escroqueries par hameçonnage. D'autres mesures de sécurité supplémentaires peuvent être employées pour renforcer la protection, notamment :

• Un logiciel de filtrage DNS pour empêcher les employés d'accéder à des sites web malveillants.
• Un filtre anti-spam de messagerie basé sur le cloud pour bloquer les courriels de phishing dans les boîtes de réception des employés.

Comment se protéger du phishing : nos conclusions

La formation à la sensibilisation à la cybersécurité est un élément clé parmi un ensemble de mesures plus larges visant à se prémunir contre les escroqueries par hameçonnage. Toutefois, ces mesures de sécurité ne sont pas toujours suffisantes. Les cybercriminels affinent en permanence leurs techniques pour éluder la détection. C'est pourquoi une approche multicouche, incluant la sensibilisation de vos employés au phishing, demeure essentielle pour que votre organisation soit bien protégée contre ces types d'escroqueries.