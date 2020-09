Protéger votre entreprise des menaces en ligne

septembre 2020 par Emmanuel Schalit, co-fondateur et PDG de Dashlane

Les entreprises et les salariés prennent chacun leurs marques avec les nouvelles règles technologiques mises en place, et la frontière entre le travail et la vie personnelle se fait plus mince que jamais. L’utilisation d’appareils personnels pour travailler, l’adoption massive des solutions Cloud et de collaboration, la normalisation des équipes de travail dispersées ne sont que quelques illustrations de cette transformation. Les menaces en matière de cybersécurité sont en hausse car les entreprises de tous les secteurs doivent s’adapter rapidement au développement du télétravail et doivent prévoir de nouveaux modèles d’organisation pour leurs bureaux. Les employés étant le maillon de sécurité le plus faible au sein d’une organisation, il est essentiel de protéger votre entreprise et vos employés contre les cyber menaces, qui ne font qu’augmenter durant cette pandémie.

Les attaques par hameçonnage (ou phishing) sont une technique courante : une personne se fait passer pour un tiers de confiance (un employeur, une banque ou un membre de l’administration) dans le but de voler des informations personnelles, comme des numéros de carte de crédit, des noms d’utilisateurs et des adresses e-mail. Ces tentatives sont parfois flagrantes, comme par exemple une demande de transfert d’argent à une personne que vous ne connaissez pas. Néanmoins, ces techniques sont de plus en plus sophistiquées et ciblées. Un employé peut recevoir un courriel urgent de son PDG lui demandant d’acheter des cartes cadeaux pour un client, ou de la part de son responsable des ressources humaines lui demandant des informations personnelles pour confirmer les détails de son salaire. Ces seconds exemples peuvent s’avérer plus délicats à repérer, surtout si la cible est un nouvel employé, pressé ou distrait.

Une brèche ouverte, même involontairement, par un employé peut exposer toute l’entreprise, surtout s’il réutilise un même mot de passe sur différents comptes, mettant ainsi en danger les données sensibles de l’entreprise. Pour limiter ce risque, les employeurs doivent s’assurer que leurs employés sont au fait des tactiques utilisées, telles que les attaques par phishing, afin qu’ils puissent plus facilement repérer les signaux d’alerte.

Quelques signaux d’alerte présents dans une attaque par phishing :

1. L’urgence : Les hackers vont souvent créer un sentiment d’urgence en menaçant de couper votre service, ou en vous donnant un délai court. Par exemple, un e-mail de phishing de la part d’une personne se faisant passer pour une banque peut vous demander de "confirmer votre compte" et de soumettre de nouveau vos informations de paiement, faute de quoi votre compte sera fermé. Si quelque chose vous semble bizarre ou alarmant, il est préférable de prendre le temps d’approfondir votre enquête.

2. Le manque de personnalisation : Les cybercriminels envoient souvent des centaines voire des milliers d’emails à la fois, et l’une des conséquences repérable est l’absence de formule de salutation personnalisée. Méfiez-vous si l’email n’inclut pas votre nom ou votre nom d’utilisateur, ou s’il s’adresse simplement à vous en tant que "Client" ou "Titulaire de compte".

3. Une adresse électronique illégitime : Les cybercriminels vont souvent créer une adresse email qui ressemble beaucoup à l’adresse email officielle d’une entreprise, avec seulement une lettre ou un mot de modifié. Les emails d’hameçonnage peuvent également afficher le nom d’une personne existant au sein de votre entreprise, bien qu’après un examen plus approfondi, l’adresse électronique elle-même ne fasse pas partie du domaine de l’organisation. Examinez attentivement l’adresse électronique de l’expéditeur pour repérer toute anomalie.

4. Une mauvaise orthographe et une mauvaise grammaire : Un moyen rapide d’identifier une tentative d’escroquerie est l’utilisation de mots mal orthographiés et d’une mauvaise grammaire dans le corps de l’email.

Afin de sensibiliser davantage les employés à ces pratiques et d’éviter d’en être victimes, les entreprises devraient envisager d’effectuer des tests : créer des faux emails de phishing (et des sites web si possible) qui seront ensuite envoyés aux employés. Effectuer ce test aidera les employés à mieux comprendre les différentes formes que peut prendre une telle attaque, à mieux identifier les signaux, et à souligner l’importance d’éviter de cliquer sur un lien suspect. Une étude de l’institut Ponemon a montré que les simulations d’hameçonnage ont permis de doubler le taux de vigilance des employés et d’obtenir un retour sur investissement de près de 40 %, par rapport aux tactiques plus traditionnelles de formation à la cybersécurité. Afin de réussir un test avec succès, les employeurs doivent :

1. Éduquer. Former les employés sur les méthodes d’hameçonnage mentionnées ci-dessus et les moyens d’identification, les informer que l’entreprise peut être amenée à effectuer des tests occasionnels pour les aider à se préparer à une attaque dans un cadre contrôlé.

2. Créer un protocole. Déterminer une manière simple pour les employés de signaler les éventuelles tentatives d’attaques à votre équipe de sécurité informatique. Cela peut prendre la forme d’une adresse email spécifique ou d’un bouton intégré dans la boîte de réception des employés.

3. Pensez au timing. Le test doit être conçu comme une série continue de simulations d’attaques dans le temps pour évaluer le succès et les améliorations. Les techniques doivent varier afin de donner aux employés de multiples opportunités d’améliorer leurs connaissances et leurs performances en matière de sécurité informatique.

4. Inclure tout le monde. Les cadres supérieurs et les dirigeants sont souvent les principales cibles des campagnes de phishing, il est donc important qu’ils soient inclus dans le test.

5. Affiner les rapports. Les rapports sont essentiels pour mesurer le succès et suivre les évolutions. Il y a trois paramètres clés que vous devrez mesurer : 1) le taux de clics sur les liens ; 2) le nombre d’employés qui divulguent des données sensibles (c’est-à-dire qui fournissent une combinaison identifiant/mot de passe) et _ 3) le nombre d’employés qui ont signalé un mail frauduleux. Les deux premiers devraient diminuer avec le temps, tandis que le nombre de personnes qui signalent les emails dangereux devrait augmenter.

6. Aider les personnes qui rencontrent des difficultés. L’une des étapes les plus importantes de ce type de test consiste à fournir une formation supplémentaire pour aider les personnes qui ont le plus de difficultés à progresser. Cela doit être fait de manière polie et amicale, car il est important que les employés se sentent à l’aise pour parler de leurs lacunes en terme de cybersécurité. Avertissez ceux qui ont échoué au test et fournissez leurs des documents de formation supplémentaires sur la manière de repérer les emails frauduleux. Les cadres devraient intervenir auprès de ceux qui continuent à rencontrer des problèmes, en proposant un tutoriel sur la manière d’identifier des emails de phishing comprenant des exemples courants et des cas qui sont arrivés à d’autres entreprises.

Enfin, enseignez aux équipes les meilleures pratiques de sécurité afin qu’elles prennent des précautions supplémentaires lorsqu’il s’agit de comptes et d’outils professionnels. Il peut s’agir d’une authentification à deux facteurs pour une couche supplémentaire de sécurité et d’utiliser un mot de passe complexe et différent pour chaque compte. Ce dernier point est essentiel, en particulier pour les employés qui auraient utilisés le même mot de passe pour leurs comptes personnels et professionnels dans le passé. Il est impératif que chacun comprenne que l’utilisation de mots de passe uniques garantit que si un compte est violé, vos autres comptes restent sécurisés.

La sensibilisation de votre entreprise aux menaces les plus courantes et aux meilleures pratiques permettra d’atténuer les risques auxquels votre entreprise est exposée par l’intermédiaire de ses employés. Sans une approche réfléchie de la sécurité qui s’inscrit dans le temps, votre organisation peut se retrouver être la prochaine victime d’un vol de données.