Oui, il existe un moyen d’arrêter 91 % de toutes les cyberattaques avant qu’elles ne pénètrent dans votre entreprise. D’accord, c’est vraiment intéressant, mais comment faire ?
La réponse à cette question est simple. Il suffit de désactiver tous les services de messagerie de votre entreprise. La raison est que 91 % des cyberattaques commencent par un e-mail de phishing.
Comment se fait-il qu’à l’ère de la consumérisation de l’informatique, où la révolution numérique est en cours, le phishing par e-mail demeure le principal vecteur de cyberattaques ?
Selon le rapport d’enquête sur les atteintes à la protection des données 2017 de Verizon, un utilisateur sur quatorze serait amené à cliquer sur un lien pointant sur un site web infecté ; ou bien à ouvrir une pièce jointe. L’autre fait inquiétant est qu’un quart d’entre eux ont été dupés plus d’une fois par une menace cybercriminelle.
Les utilisateurs ouvrent 30 % des emails de phishing. Selon le groupe de travail antiphishing APWG, le nombre total d’attaques de phishing en 2016 était supérieur à 1,2 million, soit une augmentation de 65 % par rapport à 2015.
Alors, comment les utilisateurs peuvent-ils si facilement être trompés par les cybercriminels ?
Le fait est que les spammeurs ne sont plus une bande d’amateurs qui se cachent dans un entrepôt.
89 % des attaques de phishing sont le fait du crime organisé, et celles-ci n’ont cessé d’évoluer au cours des dernières années. Les e-mails de phishing ne sont plus des sujets qui font rire, à cause des nombreuses fautes de frappe évidentes dans les messages et des mauvaises compétences linguistiques de leurs expéditeurs.
Les attaques de phishing sont désormais formulées par des professionnels intelligents qui possèdent des compétences approfondies en matière de rédaction, de communication d’entreprise, de psychologie humaine ou d’ingénierie sociale.
Certaines des attaques de phishing les plus réussies ciblent spécifiquement les PDG, les directeurs financiers et d’autres membres de la haute direction des entreprises. Nous avons déjà écrit au sujet de la prévalence et du succès des escroqueries liées aux fausses factures.
L’une des statistiques les plus surprenantes présentées dans le rapport de la mi-année 2017 de Cisco sur la cybersécurité est le fait que les attaques Business Email Compromise (BEC) ont récolté cinq fois plus d’argent que les attaques de ransomwares au cours du quatrième trimestre de 2016.
En fait, le coût moyen d’une attaque BEC est de 1,6 million de dollars. Bien entendu, l’e-mail est aussi la principale méthode pour mener des attaques de ransomwares, lesquelles ont coûté plus d’un milliard de dollars aux entreprises en 2016. Le rapport mentionne également des attaques de phishing qui ciblent même les fournisseurs de services gérés, lesquels devraient pourtant être astucieux en matière de sécurité de la messagerie électronique.
Une astuce simple pour identifier les attaques de phishing
La solution la plus simple est de désactiver les services de messagerie électronique au sein de votre organisation. Mais ce n’est pas réaliste. Il y a d’autres mesures que vous pouvez prendre en tout temps lorsque vous recevez un e-mail suspect.
Par exemple, l’autre jour, j’ai reçu un e-mail sur mon compte Gmail. Le message aurait été envoyé par ma banque pour m’informer que mon compte en ligne avait été verrouillé en raison de nombreuses tentatives de connexion ratées. Auparavant, j’ai déjà reçu, et à maintes reprises, des messages similaires de la part de grandes banques pour lesquelles je n’ai même pas eu de compte. Bien que je fusse tout à fait sûr que l’e-mail que j’ai reçu était faux, je voulais quand même le vérifier, car cette fois-ci, c’était vraiment ma banque. Plutôt que de cliquer sur le lien intégré à mon e-mail, j’ai simplement ouvert une session de navigateur web privé et accédé à mon compte bancaire en ligne. Le fait est qu’il n’était même pas verrouillé.
Autres façons de vérifier la légitimité d’un e-mail
- Au lieu de cliquer sur le bouton de retour, cliquez plutôt sur le bouton de renvoi. Vous pourrez ainsi voir l’adresse e-mail complète de l’expéditeur dans le contenu de l’e-mail de redirection. Assurez-vous que l’adresse contient le nom de domaine officiel de l’entreprise (en bonne et due forme). Un e-mail censé provenir de Bankingtrust.com peut en fait être envoyé par bankingtrust@msgr.com ou bank1ngtrust.com. Dans ce dernier cas, la lettre « i » a été remplacée par le chiffre « 1 ». Il pourrait donc s’agir d’un e-mail malveillant.
- Passez votre souris sur les liens intégrés à votre e-mail. Encore une fois, vérifiez que le lien contient le nom de domaine officiel de l’entreprise. Assurez-vous également que l’URL inclut le protocole HTTPS. Une banque ou une société de transactions financières telle que PayPal ne vous enverra jamais de lien non chiffré pour accéder à votre compte.
- Vérifiez la signature de l’e-mail. Toute demande légitime par e-mail aura une signature appropriée. Là encore, vous devriez vérifier les renseignements sur l’entreprise.
- Téléphonez d’abord à votre banque avant d’entreprendre toute action.
- Ne débloquez jamais de fonds sans avoir obtenu l’approbation de votre banque. Celle-ci doit mettre en place un solide processus d’approbation de paiements.
Mais l’étape la plus importante, si vous êtes propriétaire ou gestionnaire d’entreprise, est d’intégrer une passerelle de sécurité dans votre infrastructure de messagerie. Même si votre entreprise héberge un service de messagerie dans le cloud comme Office 365, vous avez toujours besoin d’une passerelle de messagerie pour compléter la protection par défaut. Un système de sécurité des e-mails devrait inclure des couches d’analyse des spams et un système de protection antivirus.
La formation des utilisateurs finaux est également vitale, car ils sont à la fois le maillon le plus faible de votre organisation et votre première ligne de défense. Formez-les non seulement pour qu’ils sachent identifier les e-mails de phishing évidents, mais aussi pour qu’ils puissent signaler les éventuelles attaques. De cette manière, le personnel informatique pourra prendre les mesures adéquates.
Souvent, les programmes de formation à la sécurité sont ignorés, car ils impliquent une interruption des travaux de vos collaborateurs. Mais sachez que ces efforts seront très payants à l’avenir.