Se protéger du phishing – Les meilleurs conseils

Sommaire

Le phishing, on en entend parler partout, tout le temps.

Vos collaborateurs sont peut-être lassés des actions de sensibilisation en lien avec le phishing, et pourtant, cette menace reste encore le risque cyber premier pour les entreprises comme pour les particuliers.

Les attaques par phishing consistent à piéger l’utilisateur en se faisant passer par un organisme de confiance pour obtenir des informations (codes personnels, coordonnées bancaires) pour extorquer de l’argent ou des données confidentielles.

S’il est essentiel de sensibiliser vos collaborateurs aux autres risques et de varier les contenus dans la forme comme dans le fond, le phishing n’est pas à mettre de côté. Et pour cause, le phishing touche tous les secteurs et concerne autant les TPE/PME que les grands groupes. On estime qu’entre 2021 et 2022 les attaques par phishing ont doublé et ne cesse de croître, jusqu’à atteindre le pic de 600 000 tentatives de phishing par téléphone et par jour à l’échelle mondiale.

Une menace à prendre au sérieux donc, mais alors quelles sont les  bonnes pratiques pour éviter d’être piégé ?

Pour assurer sa sécurité en ligne et éviter de tomber dans le piège du phishing, la première étape est de savoir reconnaître une tentative de phishing. Nous vous apprendrons à : 

• Détecter un mail suspect ou un site web frauduleux
  
• Définir les mesures à prendre en cas de doute
  
• Savoir si le message d’urgence reçu est une vraie urgence ou s’il s’agit d’une ruse de la part du cyber attaquant pour faire agir sans réfléchir

Il existe aussi différents moyens, plus techniques, de se protéger du phishing, avec par exemple des logiciels antivirus ou anti phishing. Nous aborderons les logiciels les plus adaptés à votre organisation, la manière de les déployer et les autres méthodes de protection à adopter.

Enfin, ça ne sera jamais trop répété, le moyen le plus efficace de se protéger d’une cyberattaque, qu’il s’agisse de phishing ou de tout autre risque, est de sensibiliser, former ses collaborateurs aux bonnes pratiques.

👉 Si ce sujet vous intéresse, nous vous expliquerons en fin d’article les conseils, ressources et campagnes de formations à connaître pour sensibiliser et former efficacement vos collaborateurs à la cyber sécurité.

Reconnaître les signes du phishing pour s’en protéger

Pour éviter le danger, il faut en avoir conscience et savoir le détecter.

Les attaques de phishing passent souvent par des sites internet frauduleux, des emails suspects ou des messages d’urgence envoyés par SMS.

Comment reconnaître un site internet frauduleux ?

Un site internet sécurisé a des caractéristiques qui lui sont spécifiques. Pour reconnaître un site internet frauduleux, il faut donc vérifier si celui-ci a les caractéristiques d’un site internet sécurisé.

👉 La première caractéristique est l’URL. Il faut toujours penser à vérifier l’URL d’un site internet. Toujours. Bien souvent, les attaquants reprennent l’aspect d’un site internet légitime mais l’URL ne sera pas la même : des caractères y seront ajoutés ou il y aura des fautes d’orthographe.

Par exemple, l’URL du site internet officiel des impôts est impots.gouv.fr ; un cyber attaquant pourra développer un site internet frauduleux dont l’URL sera impots.gouv.fr.

👉 Dans ce sens, pensez à prendre le temps de lire le contenu du site internet pour vérifier les fautes d’orthographe ou de syntaxe. Un site internet sécurisé et légitime en contient rarement.

👉 Sur internet, le mot d’ordre est méfiance. Méfiez-vous des sites internet sur lesquels vous ou vos collaborateurs naviguez et prenez le temps d’aller examiner les informations de contact (adresse physique, numéro de téléphone, email de contact), normalement présentes sur un site internet légitime. S’il vous est impossible de trouver des coordonnées fiables, le site internet est probablement frauduleux.

👉 Vérifier également que la politique de confidentialité du site est claire et répond aux exigences européennes en matière de protection des données, mais également que le site utilise bien le cryptage pour sécuriser vos données. Un site internet qui utilise le cryptage est facilement reconnaissable : il commence toujours https://.

Enfin, pour assurer la sécurité en ligne, il faut se rappeler que si quelque chose est trop beau pour être vrai, c’est sûrement le cas. Une promotion exceptionnelle ? Des offres trop alléchantes ? Des cadeaux offerts sans contrepartie ? Fuyez. Dans le même sens, ne répondez jamais aux demandes de paiement inhabituelles.

Comment reconnaître un email suspect ?

Les cyberattaques au phishing passent souvent par email. Pour éviter d’être piégé, plusieurs éléments sont à vérifier. En cas de doute, mieux vaut signaler l’email à son équipe IT ou aux autorités compétentes. Ne prenez pas de risques inutiles.

👉 Tout comme il faut vérifier l’URL d’un site qui semble frauduleux, la première chose à vérifier face à un email suspect est l’adresse de l’expéditeur. Bien souvent, les cybers attaquants vont utiliser des adresses emails qui ressemblent beaucoup à des adresses légitimes pour duper l’utilisateur.

Par exemple, l’adresse email légitime des impôts termine par @dgfip.finances.gouv.fr ; les cyberattaquants peuvent utiliser une adresse email terminant par @dgfip-finances.gouv.fr.

👉 Recherchez les incohérences et comparez avec les communications précédentes quand cela est possible. Cette étape permet d’éliminer beaucoup de tentatives de phishing.

👉 Ne transmettez jamais d’informations confidentielles par email. Qu’il s’agisse de données confidentielles, de coordonnées bancaires ou de numéros de carte de crédit. Il existe des plateformes de messagerie sécurisée à l’instar de Shadline ou Slack pour échanger les données sensibles de façon sécurisée. Ne transmettez rien de confidentiel par email, d’autant plus quand la demande se fait sur le ton de l’urgence ; l’alarmisme est une tactique bien connue chez les cyber attaquants qui l’utilisent pour vous pousser à agir sans avoir pris le temps de réfléchir.

👉 En cas de doute, contactez l’entreprise qui vous fait la demande suspecte, ne cliquez sur aucun lien ou pièce jointe et signalez tout comportement suspect sur la plateforme Signal Spam comme le recommande Cybermalveillance.gouv.

Comment reconnaître un faux SMS de phishing ?

La réception d’un SMS d’urgence alors que tout est censé aller bien de votre côté est par définition suspecte. Par exemple, si vous recevez un SMS d’urgence vous indiquant un retard de paiement pour une infraction dont vous n’avez pas la connaissance, c’est très probablement une tentative de fraude.

D’une façon générale, l’utilisation d’une tonalité d’urgence doit éveiller en vous des soupçons.

👉 Vérifiez toujours la source en contactant directement l’entité supposée pour vérifier et vérifiez aussi le numéro de téléphone : celui-ci correspond-il au numéro normalement utilisé par l’organisation qui vous contacte ?

👉 Ne cliquez jamais sur les liens présents dans les SMS suspects, d’autant plus quand ceux-ci ressemblent à des liens de sites internet frauduleux (suite de chiffres ou de lettres n’ayant aucun sens, absence du cryptage de données https://). Ces derniers renvoient généralement vers des sites ou des logiciels malveillants.

Enfin, prenez le réflexe de vérifier la qualité du message (y’a-t-il des fautes d’orthographe ?), de consulter les avis en ligne (vous n’êtes probablement pas la première personne à subir une tentative de fraude similaire) et de signaler tout SMS suspect au 33700.

Méthodes prévention du phishing grâce aux logiciels

Savoir reconnaître les signes d’une tentative de phishing c’est savoir reconnaître le danger. Est-ce suffisant pour être protégé ?

👉 Vous connaissez la réponse.

Pour limiter davantage les tentatives de fraude, il existe des outils comme des logiciels antivirus ou les anti phishing. Comment les choisir et les déployer ? On vous dit tout !

Antivirus versus anti phishing

Les logiciels antivirus comme les logiciels anti-phishing offrent une protection en temps réel contre les menaces en ligne.

Mais tous les deux traitent des menaces différentes et ont des objectifs différents.
Les logiciels antivirus ont pour objectif de détecter et bloquer les logiciels malveillants.
Les logiciels anti phishing protègent les utilisateurs contre les tentatives de phishing en analysant les URL, les e-mails, les messages instantanés, etc. Ces deux types de logiciels ne sont donc pas à opposer mais à utiliser ensemble pour une protection globale.

Comment choisir un logiciel anti phishing fiable ?

Comme avant tout achat :

• faîtes vos recherches,
• lisez les avis d’experts sur les meilleurs logiciels, 
• prenez le temps de réfléchir et de comparer. 

Ne vous précipitez pas dans l’achat d’un logiciel anti-phishing. Si vous le pouvez, souscrivez à une version d’essai avant de vous engager.

Si une entreprise de logiciel anti-phishing vous semble fiable, prenez également le temps de lire des avis pour vous renseigner à la fois sur son service client et support technique, sur sa politique de confidentialité et sur sa capacité à innover.
L’innovation d’une entreprise qui édite des logiciels est primordiale : elle doit être capable d’investir suffisamment en R&D pour rester au fait des dernières méthodes de phishing des cybercriminels.

Vérifiez que le logiciel anti phishing couvre :

1) Blocage de mails suspects
2) Blocage de sites web frauduleux
3) Vérification des liens ; un logiciel fiable offre une couverture complète des risques de phishing et est également multi-plateformes. Du moins, il doit correspondre à vos besoins et donc être compatible à la fois avec votre système d’exploitation et vos appareils utilisés (smartphone, tablette, ordinateur).

L’importance des mises à jour

Une fois le logiciel choisi et installé, il est primordial de le garder à jour afin de rester protégé contre les nouvelles menaces qui émergent, corriger les failles du logiciel, optimiser les performances du logiciel et assurer une continuité dans la compatibilité avec le système d’exploitation et ses évolutions.

Pour garder un logiciel à jour, voici quelques bonnes pratiques à adopter :

• Mettez à jour régulièrement les logiciels anti phishing, à minima une fois par mois

• Téléchargez les mises à jour depuis le site officiel uniquement

• Vérifiez que tous vos appareils sont concernés par la mise à jour

• Optez pour une mise à jour automatique si le logiciel le permet

Former et sensibiliser contre le phishing

Vous savez désormais identifier une tentative de phishing, choisir un logiciel anti-phishing adapté à vos besoins et avez compris l’importance des mises à jour.
Il faut maintenant éduquer et sensibiliser autour de vous, et notamment vos collaborateurs.

Pourquoi est-ce si important ?

Sensibiliser ses collaborateurs aux risques du phishing

Sensibiliser, former ou, mieux encore, acculturer vos collaborateurs face au risque du phishing est essentiel pour votre entreprise.

Rappelons-le, le phishing est un des premiers risques cyber pour les organisations et le risque de perte financière (vol direct, interruption des activités, coût de récupération) ou réputationnel (perte de confiance des clients et partenaires à la suite d’un vol de données sensibles) est si important qu’il est devenu vital de sensibiliser ses équipes.

Vos collaborateurs doivent être capable de repérer une tentative de phishing et connaître les gestes à adopter lorsqu’ils sont victimes d’une tentative de phishing : ne pas cliquer, signaler et supprimer.

Les contenus pour sensibiliser au phishing sont nombreux et varient d’un programme à l’autre.

A retenir 👉 Un bon programme de sensibilisation au phishing doit comprendre : 

• une partie informative et théorique sur la définition du phishing
  
• apprendre à la reconnaître
  
• des mises en situation
  
• des évaluations et des tests pour mesurer et évaluer les connaissances de vos collaborateurs en conditions réelles

Envoyer de faux emails de phishing avec de faux liens pour tester vos collaborateurs peut être un moyen fiable de vérifier leurs connaissances et l’occasion de piloter de nouvelles actions de sensibilisation.

Le programme de sensibilisation à la cybersécurité sur les risques du phishing par Cyber Investigation (lien page Cyber Investigation) est un programme complet qui comprends à la fois des contenus théoriques (fiches réflexes, quizz, vidéos) et pratiques (les utilisateurs se mettent dans la peau d’un hacker pour réussir un challenge autour du phishing).

Une formation gamifiée et interactive permet une meilleure mémorisation.

Ressources et prévention en ligne

Pour rester informé sur les dernières méthodes de phishing des cyber attaquants, il existe de nombreuses ressources en ligne à disposition.

Les agences gouvernementales comme l’ENISA (European Union Agency for Cyber Security), ou l’ANSSI publient régulièrement du contenu sur les nouvelles méthodes et les informations à connaître concernant le phishing.

Ces actualités sont généralement accompagnées de conseils sur les bonnes pratiques à adopter.

Au-delà de l’information et de l’éducation, toute tentative de phishing doit être signalée aux autorités compétentes. Le site internet du Service Public français a mis en ligne directement sur son site internet l’accès aux démarches en ligne à effectuer en cas de tentative d’hameçonnage.

Enfin, si vous souhaitez échanger des escroqueries dont vous avez été victime ou si vous doutez quant à l’intention derrière un email ou site internet, des forums de discussion en ligne sont à disposition.

Échanger autour d’un sujet permet de s’en emparer et de renverser la tendance, qui, pour l’instant, va dans le sens des cyber attaquants. L’association des consommateurs UFC que choisir à mis à disposition de tous les citoyens un forum d’échange que vous pouvez consulter en cliquant directement ici.

Si vous souhaitez en savoir plus sur les risques liés au phishing et lancer un programme pour sensibiliser vos équipes, nos experts se tiennent à votre disposition pour échanger.