Hameçonnage : un risque encore trop sous-évalué

Par Pierre Le Guellec, Président de Yec’Hed Mat Conseil

Cet été, un de vos amis en vacances à l’étranger a perdu son téléphone et vous a envoyé un mail en urgence pour vous demander de l’argent. Il y a quelques mois, c’est votre fournisseur de téléphonie mobile qui vous réclamait le règlement d’une facture de 1,37 € par l’envoi d’un SMS sous peine de suspendre votre abonnement. Et ce matin, l’hébergeur de votre site web vous a demandé de confirmer votre mot de passe. Le point commun entre tous ces messages ? Ce sont des arnaques, destinées à vous extorquer des informations personnelles ou vos mots de passe. Cette pratique est connue sous le nom de phishing ou hameçonnage.

La protection des informations personnelles détenues par l’entreprise passe par de très nombreuses actions, or les risques les plus importants avancent parfois masqués. En effet, même si les attaques perpétrées depuis l’extérieur par des hackers et ciblant le système d’information de l’entreprise ont été popularisées dans les fictions et gardent une aura très impressionnante, elles ne représentent pas nécessairement la majorité des cas.

Le plus souvent, c’est sous la forme d’un mail d’apparence anodine que se présente le danger. Envoyés en grand nombre et déployant toutes les ressources du marketing et de l’ingénierie sociale pour vous faire cliquer (appât du gain, sentiment d’urgence, message personnel, mise dans la confidence…), ces messages feraient de très nombreuses victimes chaque année en France : une étude de 2018 avance que la moitié des entreprises françaises ont été la cible d’attaques de phishing au cours des deux dernières années.

Cependant la quasi-totalité des victimes ignore même qu’elle a été flouée, puisque le site cybermalveillance.gouv.fr ne compte en 2018 que 6 000 demandes d’aide de particuliers pour des cas de hameçonnage, et à peine plus de 500 pour les entreprises… Banques, fournisseurs d’énergie, services publics, réseaux sociaux, sites de rencontre : les exemples sont nombreux et touchent également le secteur de la santé, comme le montre la campagne de phishing qui a ciblé l’hôpital privé du Confluent de Nantes ce printemps.

Les personnels de la DSI sont depuis longtemps rompus à ce type d’attaques et leurs préoccupations, en termes de cyber sécurité, vont plutôt vers la mise en place de firewalls, de réseaux privés sécurisés (VPN), d’antivirus… Mais la plupart des autres salariés de l’entreprise (métiers, fonctions supports) restent encore trop peu sensibilisés sur cette question et peuvent ne pas avoir les connaissances nécessaires pour reconnaitre un mail d’hameçonnage. Dans une campagne de sensibilisation au hameçonnage lancée au mois de juillet, Orange rappelle que « 95% des attaques informatiques sont permises par une erreur humaine ». Il est donc essentiel de protéger la structure contre ses propres salariés qui risquent de cliquer sur un lien malheureux.

Pour remédier à cela, trois niveaux d’actions peuvent être mis en œuvre : la réglementation, la sensibilisation et la formation. En premier lieu, l’ANSII rappelle que la charte informatique doit être contraignante pour ses signataires. D’application obligatoire pour tout le personnel, elle peut édicter des règles claires sur les bonnes pratiques à adopter en ce qui concerne la sécurité, comme par exemple l’interdiction d’ouvrir des pièces jointes ou de cliquer sur les liens présents dans les mails.

Dans un second temps, la sensibilisation des salariés sur les risques inhérents aux mails malveillants peut prendre de nombreuses formes : réunion d’information, affichage dans les bureaux, articles sur l’intranet ou dans la lettre interne. L’utilisation de supports ludiques, comme les vidéos de la Hack Academy ou celles d’Airbus permettent une prise de conscience et l’adoption de bons réflexes.

Enfin, la formation reste le meilleur moyen de s’assurer de la parfaite connaissance des risques. Elle peut prendre la forme de cours en ligne gratuits comme le MOOC de l’ANSSI qui permettent aux utilisateurs de se sensibiliser par eux-mêmes. Les formations classiques sont nombreuses, mais on peut citer « Référent cyber sécurité TPE – PME » proposée par les CCI qui est une excellente première approche.

Sensibiliser et former ses salariés est essentiel pour le chef d’entreprise qui peut voir sa responsabilité pénale engagée dans le cas de violations de données. Il devra ainsi le cas échéant, prouver qu’il a mis en place les actions nécessaires, d’autant plus si son entreprise traite des données personnelles pour ses clients. Pour cela, la certification ISO 27001 représente le nec plus ultra. Elle produit un code de bonnes pratiques pour le management de la sécurité de l’information et énumère au point 7.2 des actions relatives à la « sensibilisation, apprentissage et formation à la sécurité de l’information ». Si l’entreprise n’est pas certifiée, la mise en place un plan de formation et d’actions récurrentes de sensibilisation pouvant inclure des MOOC délivrant des certificats est une alternative visant à prouver les efforts mis en place par l’entreprise.

Quelques conseils de bon sens pour finir : ne pas hésiter à supprimer sans « vouloir cliquer juste pour voir » tout mail douteux. Si un doute persiste sur un mail présentant un lien douteux : passer le pointeur de la souris sur le lien sans cliquer dessus et lire l’adresse URL qui devient visible, cette dernière doit être parfaitement identifiable. Il est possible de la faire vérifier (toujours sans cliquer !) grâce au site phishing-initiative.fr qui a enregistré plus de 90 000 soumissions de mails suspects depuis le début de l’année. Enfin, prêter une attention particulière au phishing par ricochet, où un salarié reçoit par exemple un mail de candidature avec un lien qu’il transfère à la DRH, laquelle verra donc un mail en provenance d’un salarié ce qui risque de diminuer sa vigilance.

Les premières actions à mener comme la réalisation d’une charte informatique ou la vulgarisation ludique sont très faciles à mettre en place et peuvent prévenir une grande partie des risques, il serait dommage de s’en priver !


Pierre Le GuellecPierre Le Guellec, président de Yec’Hed Mat Conseil

Hameçonnage : un risque encore trop sous-évalué
Étiqueté avec :