Tout comprendre sur le spearphishing… pour ne plus être une cible facile !

Avec l’essor des outils numériques, se protéger face aux cyberattaques est devenu un enjeu majeur. En effet, les menaces se font de plus en plus présentes et leurs conséquences s’avèrent parfois désastreuses pour une entreprise 😕.

Pour vous donner une rapide idée de l’état actuel des cybermenaces, quelques statistiques valent mieux qu’un long discours :

• les cyberattaques ont augmenté de plus de 400 % depuis la crise sanitaire ;
• environ 90 % des failles de sécurité sont dues à une erreur humaine ;
• 94 % des cyberattaques seraient déclenchées depuis l’ouverture d’un email ;
• près de 2 entreprises sur 3 ont enregistré une tentative de fraude ou d’escroquerie au cours de l’année 2021.

À la lecture de ces chiffres, on réalise que la question de la cybersécurité ne doit en aucun cas être négligée.

Parmi les attaques qui ont le vent en poupe depuis quelques années, le spearphishing fait figure d’incontournable. En quoi consiste-t-il et comment s’en prémunir ? On fait le point ensemble 👇.

Le spearphishing — aussi orthographié spear phishing — est un type de cyberattaque. Dérivé du phishing (hameçonnage), la particularité du spearphishing consiste en une attaque ciblée utilisant des informations personnelles pour troubler la victime. C’est la raison pour laquelle on entend souvent parler de harponnage ou d’hameçonnage ciblé 🎣.

Autrement dit, le spearphishing s’appuie sur des mécanismes d’ingénierie sociale pour augmenter les chances de réussite de l’attaque. Face à un email de menace personnalisé, la cible de l’attaque est plus prompte à céder aux exigences de l’assaillant.

Pour parvenir à leurs fins, les adeptes sur spearphishing réunissent un maximum d’informations sur leurs cibles. Pour ce faire, ils peuvent se baser sur des données accessibles (réseaux sociaux, etc.) ou récoltées lors de précédentes attaques. Afin de maximiser l’effet de la tentative d’escroquerie, les assaillants tentent généralement de placer la victime dans une situation d’urgence ⚠.

Parmi les tentatives de spearphishing les plus répandues en entreprise, on peut mentionner :

• l’envoi d’un email ou d’un SMS de redirection vers un site à l’allure officielle (grande marque, site institutionnel, etc.) dans le but de récupérer des informations importantes (identifiants, mots de passe, code de carte bancaire, etc.) ;

• l’envoi d’une pièce jointe malveillante sous la forme d’une facture, d’un bon de commande ou d’un devis ;

• l’envoi d’un email malintentionné depuis une adresse piratée pour inciter un salarié à réaliser une action néfaste (virement à une entreprise, etc.).

Ici, on voit assez clairement que le but de la manœuvre est de duper la confiance de la victime. En arrivant à se faire passer pour une entreprise connue (fournisseur d’accès internet, opérateur mobile, etc.) ou un collaborateur, il est plus facile de restreindre la vigilance de la personne ciblée et de la pousser à communiquer des données sensibles.

Même si ces deux expressions renvoient à des techniques d’hameçonnage, le spearphishing se distingue toutefois par sa dimension personnalisée et ciblée. Là où une tentative de phishing classique s’adresse à une très large audience, une tentative de spearphishing s’adresse à un individu en particulier.

Si l’objectif d’un attaquant est de nuire à une entreprise et de détourner de l’argent, il va se renseigner sur elle. Pour ce faire, il peut aisément utiliser les réseaux sociaux de la société et de ses salariés. En quelques heures, il peut avoir une idée des derniers projets en cours, des postes occupés par chaque employé ou encore des partenaires commerciaux et des fournisseurs de l’entreprise. Toutes ces informations lui sont utiles pour mettre au point l’attaque la plus réaliste possible.

Ainsi, il pourra par exemple tenter d’infiltrer le SI (système d’information) de l’entreprise ciblée en usurpant l’identité d’une personne importante (PDG, collaborateur, etc.). Pour cela, un simple email personnalisé incitant un salarié à cliquer sur une pièce jointe ou un lien peut suffire à créer d’importants dégâts.

On peut également relever des tentatives plus directes, dont le mécanisme repose sur l’urgence et la pression mise sur un salarié. Ici, ce sont la plupart du temps des emails envoyés de la part d’un décisionnaire de l’entreprise incitant à réaliser un virement de toute urgence à un client dont il communique les coordonnées bancaires. Bien évidemment, le compte bancaire n’est autre que celui de l’attaquant ayant usurpé l’identité d’un dirigeant 😈.

La cybersécurité se doit d’être une priorité pour les entreprises. Les risques sont réels, et encore trop souvent minimisés.

💡 À titre d’information, les TPE et PME sont les structures les plus largement visées par les ransomwares et autres cyberattaques. Ne disposant pas des moyens des plus grosses entreprises, leur système de sécurité est souvent plus fragile. En outre, le personnel n’est pas nécessairement formé à ce type d’attaques et les risques liés à une erreur humaine s’en trouvent décuplés.

Concernant les retombées, elles sont avant tout financières. Une tentative d’extorsion réussie peut aisément se chiffrer à plusieurs dizaines de milliers d’euros. Pour les entreprises les plus précaires, il est parfois impossible de s’en relever.

La réputation de l’entreprise peut également être fortement impactée. Difficile de regagner la confiance d’un partenaire financier qui apprend que des données sensibles le concernant ont potentiellement pu être dérobées. Ce préjudice financier indirect peut s’avérer autant (si ce n’est encore plus) dommageable qu’une perte sèche.

Pour prévenir et se protéger au mieux des cyberattaques, les entreprises ont plusieurs options.

En premier lieu, il est fortement conseillé de réaliser un audit du système d’information. Cet état des lieux permet de détecter l’ensemble des failles liées à la cybersécurité, mais aussi de constater la pertinence de la réponse apportée par l’entreprise en cas d’attaque.

Suite à cet audit, des solutions en adéquation avec les défaillances détectées peuvent être proposées. Il existe en effet de nombreux logiciels dont l’objectif est de prévenir les cyberattaques. Ce rideau sécuritaire supplémentaire nécessaire n’est pas infaillible pour autant, notamment lorsqu’il est question de spear phishing.

C’est là que la question de la formation des salariés face à l’essor de ces attaques ciblées prend tout son sens. Face à la démocratisation du télétravail, les risques sont accrus pour les entreprises qui n’ont pas d’autre choix que de repenser leur SI. Or, quand on sait que la majorité des attaques sont dues à une erreur humaine, on comprend rapidement pourquoi la sensibilisation des collaborateurs est une priorité ✅.

💡Bonne nouvelle, il existe des logiciels qui sécurisent à la fois les messageries professionnelles et sensibilisent les salariés. Par exemple, grâce à l’outil Protect de Mailinblack, vous disposez de solutions technologiques qui vous protègent efficacement contre les tentatives d’hameçonnage ciblées. Mais Mailinblack, c’est aussi le module Cyber Coach. Ce dernier permet notamment de simuler de fausses attaques de spear phishing afin de détecter les comportements à risque, puis de former les collaborateurs concernés en conséquence.

En résumé, le spear phishing est une méthode qui vise à semer le doute chez la victime en s’appuyant sur ses informations personnelles et sur des mécanismes d’ingénierie sociale. Plus la cible se sent dans une situation d’urgence et est mise sous pression, plus ses chances de commettre une erreur sont importantes.

Pour limiter au maximum les risques d’attaques, les entreprises ont tout intérêt à sensibiliser régulièrement leurs employés et à se doter de solutions adaptées. Opter pour un logiciel de cybersécurité à 360 degrés peut être un bon réflexe à adopter.