Lutte contre le phishing : tous les outils pour former vos équipes

phishing-lutte

La lutte contre les cyber-incidents est la 2ème priorité priorité des DAF en 2018. Le phishing fait partie des méthodes les plus courantes, et de nombreuses entreprises ne sont pas suffisamment préparées pour y faire face. Voici comment s'en protéger en adoptant les bonnes pratiques et les bons outils.

« Phishing » (ou « hameçonnage ») porte bien son nom : comme lorsque vous souhaitez pêcher un poisson, vous tendez un appât et attendez qu’il morde à l’hameçon. C’en est fini, le voilà pris au piège. Sauf que cette fois-ci, les pêcheurs en ligne sont des criminels, et le poisson, c’est vous… et plus précisément vos données personnelles, mots de passe et coordonnées bancaires.

En 2015, d’après une enquête du CESIN, plus de 80% des sociétés françaises ont été au moins une fois la cible de pirates informatiques. Face à cette situation, nombreuses sont les entreprises qui souhaitent mettre toutes les chances de leur côté pour prévenir ce type de malveillances. Surtout, le perfectionnement des méthodes évolue considérablement au fil du temps. Aussitôt qu’un protocole est mis en place pour parer les phishing, aussitôt il se retrouve dépassé par l’apparition de nouvelles méthodes. Faisons le point ensemble sur la manière dont prévenir au mieux les cyber-attaques et limiter les risques auxquels votre entreprise est exposée.

Identifiez toutes les pratiques à risque

Pour lutter contre le phishing, il faut avant tout connaître les pratiques les plus répandues. Voici un aperçu.

La formule la plus classique consiste à solliciter la participation d’un individu à un concours, un tirage au sort, ou pour gagner le droit de participer à un évènement. Cliquer sur un simple lien contenu dans un email, une image ou une publicité en ligne suffit parfois à introduire dans votre système informatique un logiciel malveillant.

système-informatique

Parfois, la méthode est plus brutale. Un logiciel dit « ransomware » (rançongiciel) est introduit dans votre ordinateur et bloque l’ensemble du système informatique si vous ne réglez pas une certaine somme d’argent. Cette pratique est de plus en plus courante, et a même conduit des entrepreneurs à mettre la clé sous la porte suite à la perte de toutes leurs données informatiques.

L’usurpation d’identité est aussi une pratique courante. Votre directeur général a vu sa boite mail piratée, et vous recevez un message de sa part vous ordonnant de réaliser un paiement par carte bancaire ou virement d’une extrême urgence et dans les plus brefs délais. En réalité, il s’agit d’un fraudeur, et l’argent disparaîtra sur des comptes lointains aussitôt l’envoi confirmé.

Formez vos équipes aux bonnes pratiques

Soyons clairs : les failles en matière de phishing sont avant tout humaines, c’est pourquoi il convient tout d’abord de mener une vaste campagne de communication contre les cyber-attaques afin d’informer chaque collaborateur des dangers auxquels il peut être soumis.

lutte-phishing

Les conseils ne manquent pas pour vous alerter face à ces dangers :

  • Vérifiez la sécurité de votre connexion avec la présence de la mention «https». La présence du « s » confirme la sécurité du site internet que vous fréquentez.

  • Méfiez vous des demandes inhabituelles par email, surtout lorsqu’elles concernent des transferts d’argent, et y compris lorsqu’elles proviennent d’une messagerie que vous connaissez. Personne n’est à l’abri d’un piratage. Confirmez l’information en discutant avec votre interlocuteur par téléphone pour en avoir le coeur net.

  • Dans le doute, ne cliquez jamais sur un lien ou une pièce jointe dont vous ignorez la provenance. Soumettez là à votre référent en charge des systèmes informatiques, ou détruisez là immédiatement.

  • Assurez vous de ne pas être redirigé vers une copie frauduleuse d’un site internet, car certaines sont particulièrement ressemblantes. Vérifiez l’adresse URL, car des petites fautes d’orthographe ou l’ajout d’une lettre s’y glissent souvent.

  • Si vous découvrez que vous êtes la cible d’une campagne de hameçonnage, diffusez l’information le plus rapidement possible auprès de tous vos collègues. N’hésitez pas à créer une adresse email dédiée pour centraliser les signalements.

  • Mettez en place un protocole d’action en cas de contamination de vos systèmes informatiques par un contenu malveillant.

N’hésitez pas à consulter les formations certifiées par l’ANSSI (Agence nationale de na sécurité des systèmes d’informations) proposées par l’INHES (Institut national des hautes études de la sécurité et de la justice) pour renforcer la cyber-sécurité et former vos collaborateurs à la maîtrise du numérique.

Face à tous ces défis, Spendesk a décidé de se conformer aux normes les plus exigeantes du secteur pour garantir un niveau de sécurité optimal à ses clients. Les achats en ligne ponctuels passent sur des cartes dématérialisées à usage unique, les paiements récurrents sur des cartes plafonnées. Tout est traqué en temps réel. Spendesk respecte les normes de sécurité bancaire PCI-DSS et le protocole de cryptage 2048 bit SSL. La protection de vos données sensibles est assurée. Enfin, Spendesk ne travail qu’avec des partenaires bancaires certifiés, vos fonds sont détenus en Europe sur un compte de cantonnement conforme à la réglementation.

demonstration - spendesk - équipes finance - outil financier - gestion des dépenses d'entreprise