Le phishing (aussi appelé hameçonnage) touche les entreprises au quotidien. Durant la crise sanitaire, ce type d’attaque a même explosé, avec une augmentation de 400 % de tentatives de hameçonnage pendant la première semaine du confinement ! Il est donc important pour les entreprises de mettre en place des campagnes de phishing pour se protéger contre cette forme d’escroquerie.
La généralisation du télétravail et la dématérialisation des processus font peser de plus grands risques de fraude informatique sur les organisations. Or, le phishing peut avoir un impact considérable sur celles-ci. On parle de préjudice financier, bien sûr, mais aussi psychologique et réputationnel.
La formation et la sensibilisation des équipes sont donc un enjeu crucial pour réduire son impact. Et cela d’autant plus que le phishing en entreprise peut toucher toutes les strates hiérarchiques. Comment, dès lors, sensibiliser les salariés à la lutte contre le phishing et réduire les risques d’en être victime ? Comment mettre en place une campagne de sensibilisation au phishing efficace ?
Vous voulez en savoir plus sur les fraudes en entreprises ? Découvrez notre étude exclusive sur l’état des lieux de la fraude et les moyens à mettre en œuvre pour s’en protéger efficacement.
Qu’est-ce que le phishing ?
Une définition du phishing
Le phishing est une technique qui consiste, pour des pirates informatiques, à inciter un internaute à divulguer ses informations personnelles (identifiants et mots de passe, coordonnées bancaires, etc.). Pour cela, les pirates vont se faire passer pour un tiers de confiance. Par exemple : une banque ou une administration. Les fraudeurs peuvent également installer un logiciel malveillant. Celui-ci permet de dérober des données sensibles via un lien cliquable ou un fichier téléchargeable.
Une fois la tentative de phishing réussie, les pirates utilisent les données volées pour en faire un usage frauduleux. Il peut s’agir d’une escroquerie financière, mais aussi d’une usurpation d’identité, ou encore de revente de données sur le dark net.
Les tentatives de phishing prennent plusieurs formes. L’e-mail est la forme la plus répandue, mais l’on peut également être victime de phishing par SMS ou par appel téléphonique (ce qu’on appelle le vishing). Le phishing est une attaque non spécifique, c’est-à-dire qu’elle ne cible personne en particulier : les pirates envoient ainsi des emails en masse. Mais il existe une technique de phishing beaucoup plus ciblée (et donc plus dangereuse). Il s’agit du spearphishing, qui consiste à s’adresser à la victime de manière personnalisée.
Un exemple de phishing en entreprise
Voici un exemple type de phishing en entreprise :
- Un salarié reçoit un e-mail qui provient a priori de la direction informatique de son entreprise. Dans cet e-mail, il lui est demandé de cliquer sur un lien pour mettre à jour son mot de passe professionnel.
- N’ayant pas de raisons particulières de se méfier, le salarié clique sur le lien. Il est redirigé vers une fausse page et entre son mot de passe, qui est ensuite transmis au fraudeur.
- Le hacker a désormais accès au compte professionnel du salarié et peut, à ce titre, obtenir des documents confidentiels ou les coordonnées bancaires de l’entreprise. L’accès à ces données sensibles lui permettra, ensuite, de réaliser des opérations frauduleuses comme la fameuse fraude au président.
Pourquoi sensibiliser les employés à la lutte contre le phishing ?
Une idée répandue consiste à penser que le phishing est facile à repérer, car il est grossièrement réalisé. On pense par exemple à des courriels au graphisme douteux et aux nombreuses fautes d’orthographe. De nombreuses entreprises ont également tendance à penser qu’elles ne sont pas des cibles. Elles peuvent aussi penser que la technologie dont elles sont dotées les protège des risques d’attaques.
Pourtant, les attaques de phishing sont de plus en plus nombreuses, et de plus en plus sophistiquées. Les fraudeurs ont recours à des techniques toujours plus affûtées, et savent comment déjouer la méfiance de leurs victimes. Par ailleurs, le phishing est le principal vecteur d’attaque informatique dans 80 % des entreprises !
Dans ce contexte, il est essentiel que les salariés soient formés à repérer et signaler les attaques de phishing, grâce à de fausses campagnes de phishing. En effet, le phishing a le potentiel de causer de réels dommages, qu’ils soient financiers ou opérationnels. D’autant que les salariés constituent des cibles de choix : les individus malveillants peuvent compter sur leur manque de sensibilisation au sujet, et/ou sur leur manque de vigilance.
Rappelez-vous : en 2014, 5 films produits par Sony Pictures Entertainment ont été dévoilés sur des plateformes de téléchargement avant leur sortie officielle au cinéma. Pour voler les données de l’entreprise, des criminels se sont fait passer pour des équipes d’Apple. Ils ont ainsi contacté des salariés par email pour leur demander de vérifier leur identifiant Apple, et ont réussi à s’introduire sur les serveurs de l’entreprise pour dérober des données. Les pertes liées à cette attaque par phishing ont été estimées à plus de 100 millions de dollars.
Comment mener des campagnes de phishing réussies pour sensibiliser les employés
Une campagne de sensibilisation au phishing – ou fausse campagne de phishing – consiste à envoyer un faux email aux salariés d’une entreprise. Cet email les incite à transmettre des données confidentielles ou à télécharger un fichier. C’est une sorte de mise en condition, dont l’objectif est de construire un plan de sensibilisation à grande échelle et de faire monter les salariés en compétences. Il ne s’agit pas montrer des lacunes ou de pointer du doigt ceux qui se font prendre au piège.
Voici quelques grandes étapes à suivre, et des critères à respecter :
- Tous les salariés doivent être impliqués, y compris le management et la direction. En effet, aucun n’est protégé de ce type d’attaque. Les pirates informatiques développent des formes de phishing toujours plus sophistiquées et/ou personnalisées.
- Le choix du scénario est important : il s’agit de donner envie aux utilisateurs de cliquer sur le lien, sans pour autant se montrer trop pressant ni alarmiste. L’email envoyé doit simuler efficacement une campagne d’hameçonnage, avec la même apparence, le même contenu et les mêmes leviers psychologiques. L’objectif, cependant, n’est pas de générer du stress ! Enfin, l’email envoyé doit être le même pour tout le monde, ce qui permet de réaliser une campagne de sensibilisation uniforme.
- Une fois l’email envoyé, l’entreprise peut analyser le nombre de salariés qui ont cliqué sur le lien ou téléchargé le fichier. Ainsi, il est possible d’évaluer la vulnérabilité de l’entreprise face aux risques de phishing.
- Idéalement, les campagnes de phishing doivent être menées régulièrement. Elles peuvent par exemple, être étalées sur plusieurs mois, au rythme d’un email par mois. Autre possibilité : envoyer plus d’emails tests aux salariés qui n’ont pas réussi les premières fois.
- En aval de la campagne de sensibilisation au phishing, il est important de communiquer sur les résultats obtenus, tout en les gardant anonymes. Une communication efficace doit inclure des informations et explications claires sur les moyens de repérer le phishing et de le signaler. Des actions de formation peuvent également être mises en place, à titre de consolidation. Ces actions peuvent consister dans l’envoi d’un guide contre le phishing, ou d’une journée de formation aux risques informatiques.
En informant de manière claire et concrète les salariés sur les attaques par phishing et sur leurs conséquences, l’entreprise peut ainsi limiter les risques de fraude et mieux se protéger contre les menaces induites par les cyberattaques.
Des exemples de campagnes de phishing efficaces
Pour être réussie, une campagne de sensibilisation au phishing doit imiter jusque dans les moindres détails (scénario, ton employé…) les emails envoyés par les fraudeurs. Par exemple, il peut s’agir d’un faux email émanant de la mutuelle de l’entreprise. Celui-ci demanderait à ses membres de réinitialiser leur mot de passe en cliquant sur un lien.
Par ailleurs, une campagne de sensibilisation au phishing réussie est une campagne qui :
- Apprend aux salariés à faire preuve de vigilance et à être acteur de sa cybersécurité au quotidien.
- Est adaptée aux individus qui composent l’entreprise, sans faire de distinction entre les salariés.
- A pour objectif de former le salarié et de l’accompagner dans sa compréhension des risques. Elle ne doit pas simplement pointer ses erreurs, et encore moins le punir.
- S’inscrit dans la durée et se renouvelle de manière régulière.
- Est accompagnée d’actions de prévention concrètes, en présentiel et/ou en e-learning.
- Enfin, une campagne de phishing ne doit pas se restreindre à la problématique du hameçonnage. Elle doit apporter aux salariés des connaissances élargies sur la sécurité informatique : les différents types d’attaques, les moyens de s’en protéger, la manière de sécuriser ses données, etc.
Trustpair, la plateforme de prévention de la fraude au virement, bloque les effets délétères du phishing. Elle contrôle l’ensemble des paiements réalisés par l’entreprise. Les paiements frauduleux – conséquences néfastes du phishing – sont automatiquement bloqués et la fraude évitée ! Contactez un expert pour en savoir plus.
Pour conclure…
Le phishing est un phénomène en plein essor qui touche la majorité des entreprises. Ses effets délétères peuvent être très néfastes pour l’entreprise, et pas uniquement d’un point de vue financier. Il est donc essentiel d’instaurer des dispositifs de sécurité pour lutter efficacement. Une des mesures de prévention ? Organiser de fausses campagnes de phishing pour sensibiliser les employés au phishing. Le plus ? Utiliser un logiciel comme Trustpair pour bloquer les effets néfastes du phishing en empêchant les paiements frauduleux.
