Le phishing emprunte mille visages et use de mille stratégies. Cette forme de cybercriminalité est particulièrement efficace et reste le mode d’attaque le plus courant. Presque toutes les marques sont concernées et peu de secteurs sont épargnés. Pourtant le niveau de vulnérabilité peut varier d’une entreprise à une autre en fonction de quelques bons réflexes qu’elle aura su mettre en place dans son réseau et au sein de ses équipes.
Briser les barrières de la vigilance
Les campagnes de phishing ont beaucoup évolué ces dernières années. Elles constituent aujourd’hui la principale menace en matière de cybercriminalité, et la plus rentable. L’objectif est toujours le même : soutirer des identifiants personnels pour ensuite dérober les données personnelles et financières. En jouant sur la contrefaçon de marque et en passant par un site non autorisé, le phishing mise sur la confiance des internautes qui sont nombreux à « baisser la garde ».
D’où une généralisation significative enregistrée entre 2016 et 2017 avec un volume de 57 millions d’attaques qui a bondi à 113 millions en l’espace d’un an. Le secteur bancaire est loin d’être la seule victime. L’administration publique a vu un grand nombre de ses services détournés au même titre que les grandes marques de la construction et les technologies qui figurent en tête des secteurs les plus touchés. (*)
Etre informé, le premier « patch » sécurité
La principale faille de sécurité est avant tout humaine et la plus efficace des protections se trouverait donc à l’échelle des individus. Les marques les plus fragiles sont celles qui n’ont pas pris la mesure des comportements et des usages appropriés. Le développement d’une « culture de la vigilance » passe notamment par des actions régulières de sensibilisation auprès des salariés et des clients et des sessions de formation dédiées aux bonnes pratiques. Elles concernent en particulier les réseaux sociaux qui ouvrent la voie au « spear phishing » et visent directement les salariés et, à travers eux, les systèmes internes et les données de l’entreprise.
Renforcer les mesures de protection
En contournant les protections classiques installées sur les messageries, le phishing trouve sa source au cœur même des systèmes dont la moindre brèche peut mener à des fuites d’information, des pertes de données jusqu’à une prise de contrôle des serveurs web. L’entreprise sera d’autant plus attaquable qu’elle n’aura pas su renforcer sa sécurité, au-delà des logiciels antispam et anti-virus classiques.
Connaître l’arsenal législatif répressif
A une politique de sécurité réfléchie et partagée dans l’entreprise vient s’ajouter une autre prise de conscience. Car l’usurpation d’identité numérique constitue un délit reconnu par la loi pénale au même titre que l’introduction frauduleuse de données dans un système de traitement automatisé de données ou la collecte illicite de données à caractère personnel. S’approprier le cadre législatif, c’est pour la marque dont la propriété intellectuelle est en danger, savoir que la pratique du phishing est entrée dans le champ de l’incrimination relative à l’usurpation d’identité en ligne et que ses auteurs, une fois démasqués, peuvent risquer gros.
(*) Source : The Human Factor 2018 report