Sensibilisation au phishing : comment former vos employés ?

Nov 26, 2021

Les menaces internet contre les entreprises sont de plus en plus répandues. Spam, phishing, malware, ransomware… autant d’actes de malveillance en pleine recrudescence qui peuvent porter gravement préjudice aux professionnels. Or, fait nouveau, la pratique du phishing qui ciblait auparavant le grand public vise dorénavant majoritairement les systèmes d’information d’entreprises. À l’heure actuelle, le phishing constitue la principale faille de cybersécurité des parcs informatiques et réseaux d’entreprises. Si l’installation de logiciels anti-virus ou de pare-feu constitue des solutions indispensables, ces outils ne s’avèrent cependant pas infaillibles. Pour éviter des dommages potentiellement majeurs, mieux vaut donc savoir repérer ces tentatives d’hameçonnage. Et pour y parvenir, rien de tel que de réaliser une formation de sensibilisation au phishing auprès de votre personnel. Mais au fait, qu’est-ce que le phishing ? Quelles formes prend-il et comment le déjouer ? On fait le point avec X astuces à partager d’urgence.

Formation de sensibilisation au phishing : qu’est-ce que le phishing ?

Le phishing prend le plus souvent la forme d’une fraude à l’e-mail. Cette escroquerie consiste alors à récupérer des informations personnelles, des identifiants d’authentification ou des coordonnées bancaires. L’arnaque est d’autant plus efficace que l’e-mail semble provenir d’une marque connue. Les utilisateurs ne se méfient donc pas et atterrissent sur un site malveillant où ils finissent par saisir des données sensibles.

Pourquoi le phishing est-il si apprécié des hackers ?

Près de 80 % des cyberattaques ont pour origine une fraude au phishing. Les causes ? La simplicité avec laquelle il est possible de créer un e-mail d’hameçonnage, même pour un hacker peu expérimenté. Mais aussi parce que les destinataires se révèlent très souvent faillibles. Une véritable aubaine donc pour tout pirate informatique.

Quelles sont les conséquences potentielles d’une attaque de phishing ?

Souvent minimisées, les conséquences d’une attaque de phishing peuvent être lourdes de conséquences pour une société. Parmi les dommages dus à ces intrusions, on trouve ainsi :

  • des dysfonctionnements de site web et de réseaux ;
  • la perturbation ou l’arrêt d’outils de production, et donc de l’activité ;
  • des retards dus à ces incidents et aux interventions de maintenance ;
  • des pertes financières ;
  • une perte de confiance avec une image de marque dégradée en cas de vol de données clients…

La formation de sensibilisation au phishing des employés et collaborateurs s’avère donc essentielle pour protéger votre entreprise. Reste à savoir sur quels points porter son attention et comment s’y prendre pour qu’elle soit efficace.

Comment reconnaître une tentative de phishing ? 6 astuces

Les hackers usent de nombreux stratagèmes pour piéger leurs victimes. Bien qu’il soit impossible de tous les passer en revue, nous avons dégagé 6 astuces efficaces contre le phishing dans bien des cas. À partager sans modération !

1. Attention aux logos « officiels »

Premier réflexe à perdre : la confiance en présence d’e-mails estampillés d’un logo de marque ! En effet, les cybercriminels ne s’encombrent pas de respect au droit à l’image. Ils copient donc volontiers les logos, voire même des icônes de certification antivirus. Certains e-mails sont si bien imités qu’ils ressemblent à s’y méprendre pour des emails légitimes. Tout est fait pour susciter la confiance du destinataire.

Et malheureusement, les pare-feu et filtres antivirus ne détectent pas systématiquement les URLs frauduleuses insérées dans une image, dans un QR code…

2. Méfiez-vous des identités usurpées

Second point sur lequel rester méfiant : l’identité de l’expéditeur affichée. En effet, les hackers parviennent aisément à déguiser leur adresse e-mail frauduleuse. Pour ce faire, rien de plus simple : utiliser une identité ou un nom de domaine très proche. Voire même une identité légitime. Il leur suffit alors de les associer à une adresse e-mail fantaisiste. Peu de chance que le destinataire se rende compte de la supercherie, d’autant plus s’il consulte cet e-mail depuis son téléphone portable… car dans ce cas l’adresse associée est masquée.

Mieux vaut donc vérifier la correspondance entre l’identité de l’expéditeur et son adresse e-mail.

3. Soyez sur vos gardes en cas de promesses ou de menaces

Promesses mirobolantes et menaces (de suspension d’abonnement…) doivent éveiller vos soupçons. En effet, selon les situations, les destinataires de ces messages peuvent réagir à l’instinct. Or, un manque de lucidité momentané peut se révéler fatal.

4. Prenez le temps de vérifier même un e-mail personnalisé

Il existe, par ailleurs, une variante au phishing traditionnel envoyé en masse, avec ses formules génériques : le spear phishing. Cette technique de piratage s’avère identique, excepté qu’elle s’en prend le plus souvent à une cible unique à laquelle sont envoyés des messages très personnalisés. Elle s’appuie sur une collecte d’informations poussée qui renforce la probabilité de succès.

5. Prêtez attention à l’orthographe

Un indice qui doit vous rendre vigilant concerne les fautes d’orthographe. En effet, les e-mails et autres communications officielles en contiennent rarement. À l’inverse, ce type d’erreurs abonde souvent dans les e-mails de phishing souvent rédigés à l’étranger.

Il convient donc d’y être sensible, même si les pirates informatiques progressent aussi dans ce domaine.

6. Survolez les liens avant de cliquer

De nombreux e-mails authentiques ou frauduleux contiennent des boutons ou des liens. Pour s’assurer que la page de destination est bien celle voulue, rien ne vaut de laisser s’afficher le lien avant de cliquer dessus.

Différents éléments doivent alors être scrutés : l’orthographe exacte de la partie centrale de l’URL, mais aussi l’extension. En cas de doute, certains sites vous aident même à détecter l’authenticité d’un URL.

On le voit donc avec ces 6 conseils anti-hameçonnage : « le diable se niche dans les détails ». Alors, mieux vaut rester sur ses gardes et être formé régulièrement aux risques du phishing.

Formation de sensibilisation au phishing : mode d’emploi

On l’a vu, les attaques de phishing se perfectionnent sans cesse. Le risque que votre personnel se fasse piéger est donc majeur. Pour éviter des conséquences fâcheuses, faire dispenser régulièrement une formation de sensibilisation au phishing et à ses nouvelles techniques s’avère donc essentiel.

DSI, DPO et autres responsables de la sécurité informatique doivent s’y atteler. Dans le cas où vous ne disposez pas de ces compétences internes, n’hésitez pas à faire appel à un formateur ou DSI externe. Remplissant cette mission, Xbline organise fréquemment des formations de sensibilisation au phishing auprès de ses entreprises clientes. Atténuer votre vulnérabilité et réduire vos failles de sécurité font partie intégrantes de notre service d’infogérance.