Canal de communication indispensable aux entreprises, l’e-mail constitue également le premier vecteur d’attaque.
Le phishing (ou hameçonnage en français) permet effectivement aux acteurs malveillants d’obtenir des informations confidentielles et des accès dont ils se servent ensuite pour mener des cyberattaques plus poussées.
La lutte contre les attaques de type phishing devient une préoccupation majeure en matière de cybersécurité.
Quelles sont les différentes formes de phishing et les techniques utilisées par les acteurs malveillants ? Comment s’en protéger et impliquer les collaborateurs dans la lutte contre le phishing ?
Le phishing, c’est quoi ?
Phishing : définition
Le phishing est une technique utilisée par les acteurs malveillants pour obtenir des informations confidentielles (un couple login et mot de passe, des coordonnées bancaires, etc.).
Il prend souvent la forme d’un e-mail, mais peut également être déployé par SMS, QR code, etc. Le phishing repose sur l’usurpation d’identité.
Collaborez en toute sécurité
Partagez efficacement vos documents sensibles dans un environnement de confiance.
Il utilise des procédés destinés à tromper l’utilisateur en lui faisant croire que le message reçu provient d’un expéditeur de confiance (impôts, EDF, employeur, Microsoft, etc.).
Un e-mail frauduleux utilise notamment :
- Une adresse e-mail usurpée (le message affiche un nom d’expéditeur ou un nom de domaine proche du nom légitime : une extension en .com au lieu de .fr, par exemple),
- Une URL malveillante masquée par une redirection ou un réducteur de lien.
Quel est le but du phishing ?
L’objectif d’un e-mail de phishing est de pousser l’internaute à réaliser une action (cliquer sur un lien, ouvrir une pièce jointe, etc.) et à transmettre des informations confidentielles. Ces informations peuvent être obtenues de différentes manières. Voici deux exemples.
- L’internaute clique sur un lien malveillant, atterit sur un site frauduleux et saisit ses identifiants de messagerie professionnelle.
- L’internaute ouvre une pièce jointe frauduleuse, ce qui déclenche le téléchargement d’un logiciel malveillant capable de dérober des données.
Les acteurs malveillants peuvent réutiliser ces informations pour mener une cyberattaque plus poussée (diffuser un ransomware, par exemple).
Les différentes formes de phishing / hameçonnage
Initialement connu sous sa forme mail, le phishing utilise désormais d’autres canaux de communication et présente différentes variantes.
- Phishing par e-mail : message envoyé en masse,
- Spear-phishing : version ciblée et personnalisée,
- SMishing ou phishing par SMS,
- Vishing ou phishing par appel vocal,
- Quishing ou phishing par QR code,
- Whalling : repose sur l’usurpation d’identité du dirigeant pour tromper les collaborateurs.
S’il est présent sous différentes formes, le phishing utilise souvent les mêmes leviers psychologiques (« social engineering ») pour tromper les utilisateurs : urgence, peur, autorité, etc.
Un utilisateur reçoit par exemple un email semblant émaner de Microsoft (autorité) et l’invitant à cliquer sur un lien frauduleux. L’objectif : inciter l’utilisateur à saisir rapidement (urgence) son mot de passe en prétextant une suppression de compte (peur) ou une fausse mise à jour (fonctionne également avec LinkedIn, Adobe, OVH, etc.).
Quelques chiffres clés sur le phishing
D’après le 9e baromètre annuel du CESIN publié en janvier 2024, le phishing, spear-phishing ou smishing constitue le principal vecteur d’attaque, signalé par 60 % des entreprises ayant subi au moins une cyberattaque en 2023.
Si le chiffre est en baisse par rapport à l’édition précédente du baromètre (en recul de 14 points), le phishing et ses variantes continuent malgré tout de tenir le haut du pavé.
De son côté, le rapport d’activité 2023 du dispositif Cybermalveillance.gouv.fr note que l’hameçonnage représente 21 % des recherches d’assistance des entreprises et des associations, avec une augmentation en volume.
Comment lutter contre les mails frauduleux ? Les meilleurs conseils anti-phishing
1. Sensibiliser les collaborateurs aux bons réflexes
Le plus difficile face à un mail de phishing est de ne pas réagir dans l’urgence. Quelques conseils simples permettent de sensibiliser les collaborateurs au phénomène du phishing et de les aider à développer les bons réflexes.
- Ne pas cliquer systématiquement sur les liens contenus dans les emails, car ils peuvent rediriger les internautes vers des sites frauduleux. Mieux vaut se rendre directement sur le site de l’organisme en question plutôt que de cliquer sur le lien.
- Ne pas ouvrir systématiquement les pièces jointes.
- Ne pas répondre à un mail « suspect ».
- Contacter l’expéditeur du mail en cas de doute (pour confirmer avec lui s’il est bien à l’origine du mail).
- Faire constamment preuve de vigilance et de bon sens.
2. Encourager les utilisateurs à signaler les mails suspects
Il est aujourd’hui nécessaire d’impliquer les collaborateurs dans la protection anti-phishing, en les incitant à signaler en quelques clics les mails qui leur semblent douteux.
Les collaborateurs participent ainsi activement à la politique de cybersécurité. Charge ensuite aux administrateurs de prendre les mesures nécessaires face aux menaces signalées.
3. Configurer le SPF, le DKIM et le DMARC
Le SPF, le DKIM et le DMARC sont trois composants essentiels pour assurer la sécurité des emails en entreprise.
Le SPF (Sender Policy Framework) valide l’authenticité du nom de domaine de l’expéditeur. Le DKIM (DomainKeys Identified Mail) garantit l’intégrité d’un message en s’assurant que l’email n’a pas été modifié entre le moment où il a été envoyé et celui où il a été reçu. Enfin, le DMARC est un protocole s’appuyant sur SPF et DKIM pour authentifier un email.
Une fois paramétrés, ces trois éléments permettent d’assurer la légitimité d’un email et de son expéditeur.
Ces protections ne sont toutefois pas infaillibles et les cybercriminels trouvent de plus en plus de moyens de les contourner.
4. Utiliser un logiciel anti-phishing
Les fonctions de sécurité natives intégrées dans les suites bureautiques n’étant plus suffisantes pour faire face aux menaces de phishing, les entreprises ont tout intérêt à se tourner vers des logiciels anti-phishing.
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Ces solutions filtrent les menaces (à la fois connues et inconnues) et empêchent la réception par les utilisateurs de mails comportant des liens frauduleux, fichiers malveillants ou pièces jointes infectées.
5. Organiser des simulations de phishing
La prévention des attaques par hameçonnage étant étroitement liée aux réflexes des utilisateurs, certaines entités organisent des simulations de phishing à intervalles régulières.
Grâce à des scénarios variés et réalistes, ces simulations permettent d’évaluer le niveau de maturité cyber des collaborateurs et de mesurer leur progression.
3 éléments clés à retenir sur le phishing en entreprise
- Le phishing prend différentes formes et utilise différents canaux de communication. Il ne se limite plus aux mails frauduleux.
- La protection anti-phishing réside sur une combinaison fine entre des mesures comportementales (sensibilisation des collaborateurs, par exemple) et des protections logicielles.
- Le phishing restant le principal vecteur de cyberattaques, la protection contre les mails de phishing est une brique essentielle de toute bonne stratégie de cybersécurité.