Le phishing est l’un des vecteurs d’attaques les plus insidieux, provoquant chaque année des compromissions en cascade dans les entreprises. Entre définitions et bonnes pratiques, nous vous donnons les clefs pour reconnaître une tentative de phishing et protéger votre organisation contre ce type de cybermenace.
Le phishing, également connu sous le nom d'hameçonnage, est un vecteur de cyberattaques relevant de l'ingénierie sociale, et utilisé par des cybercriminels pour obtenir des informations sensibles comme des noms d'utilisateurs, des mots de passe ou des informations bancaires. Les attaquants se font passer pour des entités fiables en utilisant des communications électroniques trompeuses, souvent sous la forme de mails, de SMS (smishing) ou de sites web frauduleux.
L'objectif principal d’une attaque par phishing est de duper les victimes en les incitant à révéler leurs informations personnelles ou à cliquer sur des liens compromis qui peuvent installer des logiciels malveillants sur leur appareil. L’hameçonnage repose sur la manipulation psychologique, exploitant la confiance et la crédulité des utilisateurs. Ces attaques peuvent cibler des individus ou des entreprises et sont souvent difficiles à détecter en raison de leur sophistication croissante.
En 2023, les attaques par hameçonnage ont d’ailleurs atteint un niveau record, avec plus de 1,76 milliard d’URL de phishing envoyées dans le monde.1
Reconnaître une attaque par phishing peut s'avérer difficile, mais certaines caractéristiques et signaux d'alarme peuvent aider à identifier ces tentatives frauduleuses. Voici quelques indices courants à surveiller :
À savoir : en 2023, près de 40% des URL de phishing ont usurpé l’identité d’entreprises de services financiers2. C’est pourquoi nous vous conseillons de porter une attention toute particulière aux mails suspects prétendants être envoyés par ce type d’institution !
L'attaque par phishing commence par une phase de ciblage et de recherche. Les cybercriminels identifient d'abord une entreprise cible, souvent choisie en raison de sa taille, de son secteur d'activité ou de sa vulnérabilité perçue. Une fois la cible sélectionnée, les hackers entreprennent une recherche approfondie pour collecter des informations pertinentes. Cela inclut des détails sur l'entreprise elle-même, mais aussi ses employés, ses partenaires commerciaux, et ses systèmes informatiques.
Les cyberattaquants utilisent diverses sources pour rassembler ces informations. Les réseaux sociaux professionnels comme LinkedIn sont des mines d'or pour obtenir des noms d'employés, leurs rôles et leurs détails de contact. De la même manière, le site web de l'entreprise peut fournir des indices précieux sur la structure organisationnelle et les partenariats commerciaux.
En combinant ces données, les attaquants peuvent élaborer des profils détaillés qui les aident à personnaliser leurs attaques et à augmenter leurs chances de succès. Cela peut déboucher sur du spear phishing, une technique consistant à envoyer des mails frauduleux à une personne spécifique.
Avec les informations collectées, les attaquants passent à la phase de création du message de phishing.
En utilisant les noms des employés, leurs rôles et des détails spécifiques sur l'entreprise, les cybercriminels fabriquent des messages qui semblent provenir de sources internes ou de partenaires commerciaux connus. Ces messages sont soigneusement rédigés pour imiter le ton et le style de communication de l'entreprise, ou partenaires commerciaux. Les cybercriminels peuvent même utiliser des logos et des en-têtes officiels pour ajouter une couche supplémentaire d'authenticité. Le but est de rendre le message aussi crédible que possible afin de tromper la victime et de l'inciter à effectuer une action spécifique.
Les mails malveillants sont de plus en plus élaborés, notamment grâce à l’intelligence artificielle. On estime même que les mails de phishing ont augmenté de 1 265 % depuis fin 2022 et le lancement de ChatGPT. 3
Le contenu du message de phishing inclut généralement un leurre, c'est-à-dire une demande urgente d'action de la part du destinataire. Les cybercriminels exploitent souvent la peur ou la dimension d’urgence pour inciter la victime à agir rapidement sans réfléchir. Quelques exemples courants de leurres utilisés pour tromper les collaborateurs :
Ces liens ou pièces jointes sont conçus pour paraître inoffensifs, mais ils peuvent contenir des logiciels malveillants ou rediriger l'utilisateur vers un site web frauduleux.
Si le collaborateur est trompé par le message et clique sur le lien ou ouvre la pièce jointe, il peut être dirigé vers un site web de phishing. Ces sites sont soigneusement conçus pour ressembler à des pages de connexion légitimes de l'entreprise ou de services connus (comme les services bancaires en ligne, les réseaux sociaux ou les portails de messagerie).
Lorsque l'utilisateur saisit ses informations d'authentification sur ce site, celles-ci sont immédiatement transmises aux attaquants.
Une fois que les cyberattaquants ont accès aux informations de connexion ou ont compromis un système, ils peuvent exploiter cet accès pour mener des activités malveillantes. Outre le vol et l’exploitation de données sensibles, les hackers peuvent également installer des logiciels malveillants comme des ransomwares, qui chiffrent les fichiers de l'entreprise et exigent une rançon pour les déverrouiller. En 2023, près de 91% des entreprises touchées par ce type d’attaque paralysante ont d’ailleurs été contraintes de payer la rançon.4
De plus, les cybercriminels peuvent utiliser l'accès initial pour lancer des attaques supplémentaires contre d'autres parties du réseau ou contre des prestataires de l’entreprise (attaques par rebond), étendant ainsi leur emprise et causant encore plus de dommages.
Une attaque par hameçonnage peut entraîner des pertes financières significatives pour une entreprise. Les coûts directs incluent les fonds détournés par les hackers, qui peuvent s'élever à des montants considérables en fonction de la nature et de l'ampleur de l'attaque.
En plus des pertes financières directes, l'entreprise doit également faire face aux dépenses de remédiation. Cela comprend la restauration des systèmes compromis, l'enquête sur l'incident, et le renforcement des mesures de cybersécurité pour prévenir de futures attaques. Ces efforts peuvent nécessiter l'embauche de consultants en cybersécurité, l'achat de nouveaux logiciels de sécurité ou encore la mise à niveau des infrastructures existantes, générant ainsi des coûts supplémentaires.
Une attaque par phishing réussie peut entraîner la fuite d'informations sensibles. Ces données peuvent inclure des informations personnelles des clients, des détails financiers, des secrets d'entreprise etc. Une telle violation de données expose l'entreprise à des risques accrus de fraude, de vol d'identité et autres activités malveillantes.
Selon le rapport IBM de 2022, les attaques par phishing étaient la deuxième source de violations de données la plus coûteuse.5
L'un des impacts les plus conséquents d'une attaque par phishing est sans conteste l’atteinte à la réputation. La confiance des clients et des partenaires commerciaux est essentielle pour le succès à long terme de toute entreprise, or une attaque de phishing peut gravement entacher cette confiance.
Côté clients, s’ils perçoivent l'entreprise comme incapable de protéger leurs informations personnelles, ces derniers peuvent être réticents à continuer à faire affaire avec elle. Par ailleurs, les partenaires commerciaux peuvent également hésiter à collaborer avec une entreprise perçue comme vulnérable aux cyberattaques, ce qui peut affecter les relations existantes et futures.
Vous l’aurez compris, une réputation ternie par une cyberattaque réussie peut se traduire par une diminution de la fidélité client, mais aussi par une réduction des opportunités de croissance !
Les attaques par phishing peuvent provoquer des perturbations opérationnelles majeures. Les cybercriminels peuvent utiliser les informations obtenues pour pénétrer le SI de l'entreprise, ce qui peut entraîner des interruptions des activités commerciales et des temps d'arrêt des systèmes critiques.
Ces interruptions peuvent affecter la productivité des employés, retarder les projets en cours et réduire la capacité de l'entreprise à répondre aux besoins clients. Les perturbations prolongées peuvent également entraîner des pertes financières supplémentaires, car l'entreprise peut être incapable de remplir ses obligations contractuelles en temps voulu.
Une attaque par phishing réussie peut avoir des conséquences légales sérieuses pour une entreprise. Si l'incident révèle que les mesures de protection des données étaient insuffisantes, l'organisation peut en effet faire face à des litiges de la part de clients, de partenaires commerciaux ou d'organismes de régulation.
Des lois telles que le RGPD (ou NIS2, à laquelle il est urgent de se conformer) imposent des obligations strictes en matière de protection des données, et la non-conformité peut entraîner des amendes sévères.
Enfin, l'entreprise peut être tenue responsable des dommages subis par les individus dont les informations ont été compromises, ce qui peut entraîner des coûts juridiques et des compensations financières importantes.
En 2023, le phishing et le spear phishing constituaient la forme de cyberattaque la plus courante en France, affectant environ 75 % des entreprises6. Nous vous proposons un plan d’action en 6 étapes, pour limiter les dégâts d’une attaque par hameçonnage réussie.
La première étape lorsqu'une attaque par phishing est suspectée consiste à confirmer qu'il s'agit bien d'une cyberattaque. Cela implique d'identifier les signes typiques d'une tentative de phishing, comme des mails inhabituels demandant des informations sensibles, des messages contenant des liens suspects, ou des connexions inhabituelles aux comptes. Il est important de vérifier les adresses mails, les URL et d'examiner le contenu des messages pour détecter des anomalies. La confirmation de la cyberattaque permet de mettre en place rapidement les mesures de réponse nécessaires.
Une fois l'événement confirmé, il est impératif de déconnecter les systèmes ou comptes compromis pour éviter la propagation de l'attaque. Cela peut inclure la déconnexion des ordinateurs infectés du réseau, la suspension des comptes utilisateurs compromis, et la mise hors ligne des serveurs affectés. Isoler les systèmes aide à contenir l'attaque et à limiter les dégâts potentiels. Il est également conseillé de mettre en œuvre un Plan de Continuité d’Activité (PCA) pour assurer la continuité des activités pendant cette période.
Il est indispensable de modifier les mots de passe de tous les comptes susceptibles d'avoir été exposés. Cela inclut non seulement les comptes directement compromis, mais aussi ceux qui pourraient être vulnérables à une attaque par rebond.
Pour faciliter cette étape et renforcer la sécurité des comptes en entreprise, nous recommandons l’utilisation d’une solution de gestion des mots de passe comme LockPass. LockPass génère et stocke de manière sécurisée des mots de passe robustes, réduisant ainsi le risque de compromission liés à la gestion des secrets.
Il est également important d'informer rapidement les collaborateurs, partenaires et clients affectés par l'attaque. La transparence est essentielle pour maintenir la confiance et permettre aux parties concernées de prendre des mesures pour protéger leurs informations. Il convient donc de fournir des instructions claires sur les étapes à suivre, comme la modification des mots de passe et la vigilance face aux tentatives de phishing supplémentaires. Cette communication précise et rapide permettra de minimiser l'impact de l'attaque.
Une analyse approfondie de l'attaque est nécessaire pour identifier les données et systèmes affectés. Cela comprend la vérification des journaux de sécurité, l'évaluation des données exfiltrées et l’identification des systèmes compromis.
L'objectif est de saisir l'ampleur de l'attaque et d’en comprendre les causes, afin de mettre en place des mesures correctives et préventives adéquates.
Enfin, il est obligatoire de rapporter l'attaque aux autorités compétentes, conformément aux réglementations en vigueur.
Dans certaines juridictions, il est obligatoire de notifier les régulateurs de la protection des données (la CNIL en France), dans un délai précis après la découverte de l'incident.
Signaler la cyberattaque peut également inclure la notification des forces de l'ordre si l'attaque constitue une infraction pénale. Ce signalement aide non seulement à se conformer aux lois, mais aussi à contribuer à la lutte contre la cybercriminalité.
Lors d’une récente enquête, 62% des salariés français déclaraient n’avoir jamais reçu de formation en cybersécurité7. Or, un seul clic malheureux sur un mail de phishing, et c’est toute une organisation qui peut être compromise !
Éduquer régulièrement les collaborateurs sur les bonnes pratiques cyber et les dernières tendances du phishing est donc essentiel pour renforcer la cybersécurité en entreprise. Les formations doivent inclure des exemples concrets de tentatives d’hameçonnage, et expliquer comment reconnaître les signes d'une attaque et ce qu'il faut faire en cas de doute. De plus, la mise en place de tests d'intrusion (pentest), où des campagnes de phishing simulées peuvent être envoyées aux employés pour tester leur vigilance. Celles-ci s’avèrent être très efficaces.
Intéressé·e par le sujet ? Découvrez 4 bonnes pratiques pour protéger votre entreprise contre le phishing.
En moyenne, 89% des courriers électroniques indésirables contournent les contrôles de messagerie8. C’est pourquoi utiliser des logiciels spécialisés dans la détection et le blocage des tentatives de phishing est recommandé pour protéger les entreprises. Ces solutions filtrent les mails entrants, analysent les pièces jointes et les liens, et bloquent les messages suspects avant qu'ils n'atteignent les utilisateurs.
Les solutions anti-phishing avancées peuvent également utiliser des technologies d'intelligence artificielle pour détecter les nouvelles menaces en temps réel, offrant ainsi une protection proactive contre les attaques par hameçonnage.
Implanter l'authentification multifacteurs (MFA) ajoute une couche de sécurité supplémentaire lors de l'accès aux comptes en ligne. Avec la MFA, même si un mot de passe est compromis, un attaquant ne pourra pas accéder au compte sans le second facteur de vérification. Cela réduit considérablement le risque de compromission des comptes en cas de phishing. Preuve en est, Microsoft a constaté qu'une utilisation de la MFA peut réduire de 99 % le risque de phishing aboutissant à une prise de contrôle de ses comptes9.
Définir et appliquer des politiques de sécurité claires est indispensable pour limiter l'exposition aux attaques par phishing. Cela inclut la gestion des accès et des identités (IAM), en veillant à ce que seules les personnes ayant besoin d'accéder à des informations sensibles y aient effectivement accès.
Avec LockPass, vous attribuez simplement et rapidement les bons accès aux bonnes personnes tout en imposant des politiques de mots de passe robustes en fonction de la criticité des données traitées. Des politiques strictes aident à minimiser les risques en restreignant les actions que les utilisateurs peuvent effectuer, réduisant ainsi la surface d'attaque potentielle.
L'utilisation d'un gestionnaire de mots de passe peut renforcer la sécurité en garantissant des mots de passe forts et uniques pour chaque service.
En cas d’ouverture d’une page web malveillante (via un clic sur un mail de phishing), un gestionnaire de mots de passe ne proposera pas l’auto-complétion des informations de connexion car l’URL ne correspondra pas à celle du site légitime. Cela peut alerter l'utilisateur sur une tentative de phishing.
Effectuer régulièrement des analyses des risques et des audits de sécurité permet d'identifier les vulnérabilités potentielles et de mettre en œuvre des mesures correctives avant qu'elles ne soient exploitées. Une analyse des risques complète évalue les menaces internes et externes, les impacts potentiels sur l'entreprise, et les moyens de mitigation. Cette étape est indispensable pour maintenir une posture de sécurité proactive et renforcer la résilience face aux attaques par phishing.
Vous l’aurez compris, face à la montée en puissance des attaques par phishing, il est indispensable pour les entreprises de mettre en place des stratégies robustes de prévention et de réponse. En outre, il est tout aussi important de prévenir les risques en réalisant régulièrement des tests d'intrusion et des audits de cybersécurité. Ces pratiques permettent d'identifier et de corriger les vulnérabilités avant qu'elles ne soient exploitées par des cybercriminels, renforçant ainsi la résilience de l'entreprise face aux menaces cyber.
Sources :
1 https://www.datasecuritybreach.fr/phishing-2023-annee-record/
2 https://www.vadesecure.com/fr/blog/rapport-sur-le-phishing-et-les-malwares-t3-2023
3 https://www.stormshield.com/fr/actus/cybersecurite-chiffres-cles-statistiques-2023/
4 https://comarketing-news.fr/ransomware-9-entreprises-sur-10-payent-la-rancon/
5 https://www.techopedia.com/fr/statistiques-phishing
6 https://www.infinylink.fr/blog/solutions-securite-informatique/cybersecurite/top-10-chiffres-cybersecurite/
7 https://www.itforbusiness.fr/62-des-salaries-francais-nont-jamais-recu-de-formation-cybersecurite-55837
8 https://blog.cloudflare.com/fr-fr/2023-phishing-report-fr-fr/
9 https://learn.microsoft.com/fr-fr/entra/id-protection/howto-identity-protection-configure-mfa-policy