Comment se protéger du phishing ? Conseils et bonnes pratiques

Comment se protéger du phishing, ou hameçonnage, de manière efficace ?

Parce que ce type d’attaque peut engendrer de lourdes conséquences pour les entreprises, comme la fuite de données sensibles par exemple, il convient à chaque organisation de s’en prémunir au mieux.

Si des logiciels spécifiques ont été développés en ce sens, nous verrons que le facteur humain, et donc la sensibilisation, restent les meilleures armes pour se protéger de ces malveillances.

C’est pourquoi vous devez redoubler de vigilance, vous poser les bonnes questions à la réception d’un mail et adopter de bonnes pratiques.

Détaillons tout ça.

Le phishing se définit comme une des attaques informatiques les plus courantes. Nous rencontrons également les termes français de « hameçonnage » ou de » filoutage » pour désigner cette technique.

En quoi consiste-t-elle exactement ?

Le pirate informatique usurpe une identité, comme celle d’un organisme public ou d’une grande société, afin d’envoyer un mail en son nom et obtenir de la part du destinataire des actions spécifiques.

Pour mieux duper, le fraudeur tente de se faire passer au mieux pour un expéditeur de confiance (en reprenant ses logos et sa charte graphique par exemple). Par ce procédé, il incite sa victime à :

• cliquer sur un lien renvoyant vers un faux site officiel, un site miroir ;
• télécharger une pièce jointe ;
• répondre directement au mail, etc.

De par ces actions, les objectifs des hackers sont multiples :

• obtenir des données personnelles, comme des informations bancaires ou des mots de passe ;
• soutirer de l’argent ;
• introduire un logiciel malveillant dans le système du destinataire du mail.

☝️ Cette technique de fraude est sans doute l’une des plus répandues dans l’espace web, puisqu’elle requiert peu de compétences pour le cybercriminel. Il lui suffit de récolter des données sur ses futures victimes (opération facilitée grâce au nombre croissant d’informations personnelles disponibles sur internet, les réseaux sociaux, etc.) puis de leur envoyer un simple mail.

De surcroît, la réussite de l’arnaque s’appuie énormément sur le manque de vigilance des utilisateurs qui, nous le verrons, reste le point faible des organisations en matière de cybersécurité.

Le phishing, à l’instar de toutes les cyberattaques, se multiplie. Il peut impacter tout type d’entreprises, quels que soient leur taille ou secteur d’activité.

Par ailleurs, notons que les tentatives d’hameçonnage deviennent de plus en plus ciblées. En effet, certains hackers prennent désormais le temps de se renseigner sur leurs futures victimes, dans l’objectif d’envoyer le message le plus crédible possible.

Voici alors les principales conséquences pour les organisations :

• infiltration dans le réseau informatique,
• fuite de données sensibles, comme des fichiers clients, des brevets, des informations bancaires,
• usurpation d’identité, etc.

Les répercussions du phishing peuvent donc se révéler désastreuses, tant au niveau financier que pour l’image de l’entreprise qui s’en trouvera fortement entachée.

La prévention reste la meilleure manière de se protéger efficacement du phishing, car une tentative d’hameçonnage s’avère souvent détectable. Or, dans un contexte où nous sommes de plus en plus submergés par l’information, nous ne prêtons parfois plus attention à certains détails.

C’est pourquoi les entreprises doivent prendre à bras le corps cette problématique, et communiquer de manière active auprès des collaborateurs. Pourquoi, par exemple, ne pas organiser des sessions de formation ?

💡 Certaines organisations ont pris le parti de tester leurs employés . En envoyant de faux mails de phishing, elles identifient qui « mord à l’hameçon », afin de réagir en conséquence et d’insuffler de meilleures pratiques.

En vous posant les bonnes questions et en restant attentif lors de la réception d’un mail, vous augmentez vos chances de vous prémunir des tentatives de phishing .

Voici les principaux points de vigilance :

• L’expéditeur : est-ce que je connais cet expéditeur ? Ai-je déjà été contacté par lui auparavant ?
  
  
• Son adresse mail : une adresse mail suspecte, ou qui semble peu sérieuse, est révélatrice. En cas de doute, saisissez-la sur Google. Si fraude, il est possible qu’elle ait déjà été signalée.
  
  
• La nature du mail :
  • Le sujet ou dossier évoqués dans le mail me parlent-t-ils ?
  • Le ton du texte me paraît-il approprié ? De manière générale, méfiez-vous des courriels qui tentent de vous inquiéter, de vous presser, de vous mettre dans une situation d’urgence.
  • Des données personnelles me sont-elles demandées ? Sachez, par exemple, qu’un organisme bancaire n’exige jamais la communication d’ informations sensibles par internet.
    
    
• La qualité du contenu : le contenu semble-t-il conforme à ce qu’un expéditeur de ce type peut envoyer ? En d’autres termes, scrutez les fautes d’orthographe, erreurs de frappe ou autres formules inappropriées qui sont légion dans ce type de mail.
  
  
• Les liens et les pièces jointes :
  • Regardez si les URL des liens semblent correctes, sans fautes d’orthographe. Vous pouvez, par exemple, saisir la cible dans la barre d’adresse de votre navigateur pour contrôler sa fiabilité.
  • Méfiez-vous également des liens courts , car ils ne permettent pas de prévoir où vous allez atterrir. 💡 Astuce : pour vérifier vers quelle page renverra un lien court, utilisez des outils en ligne tels que Unshorten.It!.
  • Demandez-vous si la pièce jointe est suspecte. Diffère-t-elle, par exemple, de celle affichée en clair ? Bref, réfléchissez toujours à deux fois avant de cliquer sur quoi que ce soit dans un courriel.

Voici quelques conseils pour allier cybersécurité et gestion de vos mails professionnels :

• Ne communiquez jamais de données sensibles par mail , car aucune organisation ou entreprise digne de ce nom ne vous le demandera. Idem pour les demandes d’envoi d’argent (faux règlements de frais d’expédition par exemple).
  
  
• En cas de doute, vérifiez l’information en vous rendant directement sur le site web sécurisé de l’expéditeur ou tout autre canal officiel .
  
  
• Méfiez-vous des offres trop alléchantes (gain à la loterie, envoi de cadeaux, etc.).
  
  
• Assurez-vous toujours de la sécurité des sites sur lesquels vous naviguez. S’ils sont fiables, les indications suivantes sont présentes dans la barre d’adresse du site : « https:// » ainsi qu’une icône de verrouillage.
  
  
• Si ce n’est pas déjà fait, activez les protections anti-phishing disponibles dans les différents navigateurs.
  
  
• Utilisez votre messagerie professionnelle uniquement pour cet usage , et idem pour votre messagerie personnelle.
  
  
• Évitez d’utiliser un réseau Wi-Fi public pour vos opérations professionnelles.
  
  
• Enfin, supprimez tout email d’hameçonnage parvenu dans votre messagerie, et ne le transférez pas à vos collaborateurs (sauf au service informatique compétent pour mise en place d’actions).

Si les comportements humains appropriés restent gages d’une meilleure protection contre le phishing, l’utilisation de certains logiciels et outils s’avère bénéfique.

• 🛠️ Les logiciels anti-phishing . Citons par exemple Mailinblack , et sa solution Mailinblack Protect, qui repère les emails frauduleux, et donc vous en préserve. L’éditeur propose également l'outil pédagogique Phishing Coach pour accompagner les entreprises dans l’identification des comportements à risque des collaborateurs et dans la mise en place d’actions de sensibilisation auprès des équipes.
  
  
• 🛠️ Les antivirus . Utiliser un antivirus  fiable et à jour assure une meilleure protection contre les actions malveillantes consécutives à une tentative d’hameçonnage aboutie (si vous avez par mégarde téléchargé une pièce jointe frauduleuse par exemple).
  
  
• 🛠️ Les gestionnaires de mots de passe . Il est recommandé d’utiliser des mots de passe uniques pour vous connecter à vos différents comptes, afin de garantir votre protection en cas d’usurpation d’identifiants. Mais puisque le cerveau humain ne peut tous les retenir, nous vous suggérons d’opter pour un gestionnaire de mots de passe  sécurisé.

Enfin, nous vous conseillons de signaler toute tentative d’hameçonnage :

• dans votre messagerie , à l’aide des fameux onglets « courrier indésirable » et « tentative d’hameçonnage ». Vous vous prémunissez ainsi d’attaques futures ;
• sur Signal Spam  et/ou internet-signalement.gouv.fr . De cette façon, vous aidez les autorités à agir et vous contribuez à rendre internet plus sûr.

☝️ Dans le cadre professionnel, rapprochez-vous du service informatique pour qu’il puisse vite réagir, afin d’éviter notamment que d’autres collaborateurs moins aguerris que vous mordent à l’hameçon.

Vous vous êtes aperçu trop tard avoir été victime de phishing ? Voici quelques actions à mettre rapidement en place :

1. Une fois n’est pas coutume, signalez vite la fraude au service informatique de votre entreprise ;
2. Changez tous vos mots de passe , pour éviter que le pirate accède à vos informations via les identifiants obtenus ;
3. Rapprochez-vous des organismes concernés . Si par exemple vous avez révélé vos coordonnées bancaires , faites immédiatement opposition auprès de votre banque ;
4. Déposez une plainte au commissariat ou à la gendarmerie.