Chaque entreprise qui possède une infrastructure informatique est exposée aux risques des cyber-attaques. Les cyber-attaques, quelles que soient leurs origines, représentent un réel danger pour les entreprises : pertes financières, dommages réputationnels, divulgations d’informations, pertes de clientèle, voire poursuites judiciaires.
Les PME constituent une cible de choix pour les hackers. En effet, la question de la sécurité informatique et de la protection des données passe bien souvent après leur propre productivité, leurs tâches administratives ou les préoccupations liées à leur clientèle.
Parmi les risques informatiques les plus fréquents, notons que les boîtes mail professionnelles représentent une porte d’accès facile pour les cyber-attaques.
En effet, qui n’a jamais reçu sur sa boîte mail un message non sollicité nous incitant à communiquer nos identifiants, vérifier nos comptes, nos coordonnées bancaires, ou à venir retirer un gain ?
C’est par le biais des emails que nous sommes perméables à ces attaques. Tout peut commencer par un email piégé qui contraindra l’utilisateur à entrer des données ou à agir sous la pression, en créant une situation d’urgence par exemple. Chaque détail est travaillé pour que la victime ne se rende pas compte de l’usurpation et du piège qui lui est présenté.
Par inadvertance, la victime clique sur une url, entre des identifiants et le pirate peut ainsi avoir accès à distance au système informatique d’une entreprise, prendre le contrôle sur des postes.
Heureusement, la plupart des attaques opportunistes peuvent être évitées et il existe de nombreux moyens de s’en prémunir et de protéger son système informatique.
–Investir dans des filtres de sécurité de l’email sur vos messageries professionnelles : mise en place d’anti-spams.
–Sécuriser son système informatique des accès à distance : firewall à jour.
–Réaliser des sauvegardes régulières sur des espaces de stockage externe, déconnectés d’internet.
–Sensibiliser et informer les employés des PME (savoir reconnaître un mail frauduleux, prévention des opportunités d’attaque…)
Également, la loi française met à disposition des citoyens des plateformes pour dénoncer les tentatives d’escroquerie, comme sur la plateforme PHAROS par exemple.
Elle est accessible sur le site www.internet-signalement.gouv.fr. Cette plateforme permet notamment de signaler les sites internet dont le contenu est illicite.
Pour vous éclairer, nous avons fait le point sur les différents types d’escroqueries auxquelles vous pouvez être confronté dans votre milieu professionnel, ou personnel.
Voici les fraudes les plus utilisées par les hackers :
Le phishing est une technique de piratage qui consiste à envoyer des emails en masse pour inciter l’utilisateur à cliquer sur une url, lié à un formulaire web d’une page qui semble connue (banques, organismes, grands comptes etc.).
- phishing aux identifiants Office 365 (demande de connexion à Office 365 pour accéder à un fichier partagé, mettre à jour ses informations de compte ou consulter un message vocal) les liens amènent la victime à une page réplique et entre ses identifiants, le hacker les récupère et accède à l’intégralité de la suite Office 365.
- Fausse facture en pièce jointe. Les hackers envoient une fausse facture par email ainsi qu’un lien permettant d’annuler un achat. Le lien mène ensuite à une page de phishing invitant à saisir des identifiants de compte.
- Pièce jointe. Le malware (=logiciel malveillant) est caché dans une pièce jointe de type facture urgente. Une fois ouverte, elle exécute un malware qui se répand sur le système, souvent pour enregistrer les frappes au clavier, les identifiants, mots de passe…
Le spear phishing est une attaque plus ciblée, qui vise une seule personne. Le hacker prétend vous connaître et se fait passer pour quelqu’un de votre hiérarchie par exemple, (plutôt qu’une société) dans le but d’obtenir une réponse favorable sous l’effet de la confiance. Cette technique est redoutable car la victime se sent face à une connaissance professionnelle et souhaite généralement agir vite (répondre rapidement et favorablement).
3 règles pour éviter les mails frauduleux :
1 – Ne pas cliquer !
Votre fournisseur d’accès internet ou d’électricité vous envoie un lien pour régler votre dernière facture ? Cela semble légitime tant le logo et l’interface reprennent les codes graphiques de la société. Mais dans le doute, il est préférable d’ouvrir manuellement son navigateur, d’aller sur le site web officiel de son fournisseur, afin de se connecter à son compte client pour vérifier son statut, et ses factures en cours.
2 – Ne pas répondre !
Tous les sites abritant une plateforme de paiement doivent impérativement utiliser le protocole sécurisé HTTPS (et non http, à gauche de l’URL du site). Dans tous les cas, sachez qu’il est impossible qu’un fournisseur ou organisme légitime vous demande d’entrer vos coordonnées bancaires par mail !
3 – Vérifiez l’adresse email de l’expéditeur !
Un mail en provenance d’un prestataire reconnu se terminera toujours par le nom de domaine officiel du prestataire, et non par une boîte mail personnelle (de type @gmail.com, @yahoo.fr etc.). Cela paraît évident mais il est impératif de bien vérifier l’adresse de l’expéditeur. Prenez garde aux ponctuations mal placées dans les adresses mail !
Alez PC prestataire informatique spécialisé en maintenance et sécurité informatique des entreprises depuis plus de 15 ans, vous accompagne dans une démarche de prévention, afin de protéger votre entreprise des cyber-risques. Nos experts vous conseillent et mettent en place un protocole de sécurité ciblé et personnalisé :
- Audit et état des lieux de votre système informatique et technique
- Mise-en-place d’une sécurisation de vos accès à distance grâce aux firewalls
- Mise-en-place de filtres de protection sur les messageries avec les anti-spams
- Sauvegardes systématiques des données de votre entreprise et des données personnelles.
Liens utiles sur le site web SSI.GOUV.FR :
Les bonnes pratiques informatiques et sécurisez vos mots de passe