Phishing : 4 bonnes pratiques pour protéger votre entreprise

Le phishing et le spear phishing sont aujourd'hui la menace n°1 pour les organisations françaises !

Parmi les vecteurs d’attaques cyber qui touchent le plus les entreprises et collectivités françaises le phishing arrive en tête du classement avec 27% des recherches d’assistances selon le rapport 2022 de cybermalveillance.gouv.fr, et touche 74% des organisations françaises victimes d'une attaque en 2022 selon le baromètre 2023 du CESIN.

Découvrez dans ce court article, 4 bonnes pratiques pour protéger votre entreprise face à ces menaces 👇

🔎 Qu’est-ce que le Phishing ?

‌

Le phishing ou hameçonnage en français est le principal mode opératoire utilisé par les cybercriminels pour dérober des accès à votre système d’information ou les coordonnées bancaires de votre entreprise.

‌

Les informations dérobées sont ensuite utilisées par les hackers (ou revendus à d’autres cybercriminels) pour mener diverses actions frauduleuses (usurpation d’identité, déploiement d’un ransomware pour chiffrer et extorquer les données de votre entreprise, utilisation des informations collectées pour perpétrer une attaque de spear phishing…)

Et le Spear Phishing ? 🔍

‌

À la différence du phishing qui vise en masse l’ensemble de vos collaborateurs, le spear phishing visera une personne ou une fonction en particulier.

En ayant préalablement récupéré des informations sur la personne visée (telles que votre nom, le nom de votre entreprise, votre fonction, votre adresse électronique, etc…) via les réseaux sociaux, votre site web ou encore une attaque par phishing en amont, le cybercriminel pourra s’adresser de façon extrêmement personnalisée à sa victime ce qui rendra l’attaque plus difficile à identifier.

‌

Le Spear Phishing est souvent utilisé pour viser des personnes à haut privilège dans l’entreprise afin de pouvoir corrompre plus rapidement l’intégralité du système d’information et ainsi pour le cybercriminel obtenir de plus gros gains (demande de rançon, revente des fichiers clients…)

Voici 4 bonnes pratiques pour se protéger face à ce type d'attaque 👇

1. Utilisez un filtre anti-spam

La 1ère bonne pratique consiste à mettre en place un filtre anti-spam. Ceux-ci vont venir bloquer un maximum d'e-mails indésirables ou malveillants avant qu'ils n'atteignent la boîte mail de vos collaborateurs.

Vous pouvez par exemple vous tourner vers la solution française mailinblack.

2. Mettez en place un gestionnaire de mots de passe

En quoi un gestionnaire de mots de passe professionnel peut-il vous aider à faire face au phishing ?

C’est simple, lorsqu’un collaborateur cliquera sur le lien frauduleux, il arrivera sur une fausse page de connexion. Ainsi, les plugins navigateurs LockPass ne divulgueront pas les identifiants puisque l'URL ne correspondra pas à celle attendue.

L’utilisateur se rendra alors compte que la demande n'était pas légitime et pourra signaler ce mail frauduleux à la DSI.

Bonus ⊕ En optant pour le gestionnaire de mots de passe de LockSelf (certifié par l’ANSSI), vous amélioré votre PRA en faisant le choix d'un stockage externalisé de vos mots de passe !

3. Adoptez la double authentification systématique lorsque cela est possible.

Si l’un de vos collaborateurs a divulgué ses identifiants de connexion via un mail de phishing, la double authentification permettra de bloquer l’accès au compte.

Il pourra ainsi changer son mot de passe pour sécuriser à nouveau l’accès.

Bonus ⊕ Avec LockSelf, l'ensemble de vos collaborateurs peuvent gérer simplement la double authentification à l'aide de notre fonctionnalité OTP (One-Time Password) intégrée !

4. Restez vigilant et formez régulièrement vos collaborateurs

Rester alerte sur les mauvaises pratiques de gestion des accès de vos collaborateurs est essentiel (mots de passe faibles, gestion via navigateur ou posts-its ...) mais peut s'avérer compliqué à suivre par la direction ou les équipes IT. 

C'est pour faciliter cette gestion fine des accès au sein de votre organisation que nous avons fait le choix d'intégré un nouveau dashboard à la suite LockSelf, idéal pour les équipes IT qui cherchent à monitorer finement l’usage de leurs solutions cyber et rendre palpable le R.O.I auprès de leur direction !

Former vos collaborateurs dans la durée est également essentiel afin qu’ils aient conscience des risques et sachent réagir efficacement en cas de mail de phishing reçu. Nous pouvons vous conseiller avant de cliquer, société française spécialiste de la sensibilisation cyber pour vous aider dans cette démarche de formation de vos équipes à ces enjeux. 

Mettez en place ces bonnes pratiques dès aujourd'hui pour renforcer la protection de votre organisation face au nombre grandissant de cyberattaques !