Toutes les organisations devraient prendre des mesures pour atténuer le risque de phishing, et l’une de ces mesures devrait consister à former les employés sur la façon de repérer un email de phishing.
Les employés verront souvent leurs capacités à identifier les emails de phishing mises à l’épreuve. Il suffit que l’un d’entre eux tombe dans le piège de phishing pour compromettre l’ensemble d’un réseau.
Ainsi, il est non seulement essentiel que tous les employés soient formés pour repérer un email de phishing, mais il faut aussi que leurs compétences soient évaluées après la formation pour savoir dans quelle mesure la formation a été efficace.
Quelle est la fréquence des attaques de phishing ?
Le phishing est aujourd’hui la principale menace pour la sécurité des entreprises, quels que soient leurs secteurs d’activité. Les recherches menées par PhishMe, une entreprise de formation en sensibilisation à la sécurité, suggèrent que plus de 90% des cyberattaques commencent par un email de phishing ou de spear phishing.
Bien que toutes les entreprises doivent faire face à la menace de phishing, celles qui interviennent dans l’éducation et les soins de santé sont particulièrement à risque. Elles sont souvent la cible d’arnaqueurs et de spammeurs, et trop souvent, ces attaques sont couronnées de succès.
Le rapport sur la vulnérabilité des données d’Intermedia en 2017 a montré comment les attaques de phishing courantes réussissent.
Les travailleurs ont été interrogés sur la formation de sensibilisation à la sécurité et sur les attaques de phishing réussies contre leurs organisations.
34% des cadres supérieurs de haut niveau ont admis avoir été victimes d’une escroquerie par phishing, tout comme 25% des professionnels dans les services informatiques. Pourtant, ces personnes devraient, en théorie, être les meilleures dans une organisation pour identifier les escroqueries par phishing.
La même étude a révélé que 30% des employés de bureau ne reçoivent pas de formation régulière de sensibilisation à la sécurité. 11% ont dit qu’ils n’avaient reçu aucune formation. De plus, on ne leur avait jamais appris la façon de repérer un email de phishing.
Une confiance excessive dans les capacités de détection du phishing favorise les atteintes à la protection des données
Les études sur les atteintes à la protection des données et la cybersécurité révèlent souvent que de nombreuses organisations ont confiance en leurs moyens de défense contre le phishing.
Toutefois, bon nombre de ces entreprises sont encore victimes des atteintes à la protection des données et des attaques de phishing. En effet, une confiance excessive dans la détection et la prévention du phishing expose de nombreuses entreprises à des risques.
C’est ce qu’a récemment mis en lumière l’étude menée par H.R. Rao à l’Université du Texas à San Antonio. Rao a expliqué que beaucoup de gens se croient plus intelligents pour ne pas tomber dans le piège des cybercriminels et les arnaqueurs. Pourtant, ce n’est pas souvent le cas et les pirates informatiques peuvent exploiter de cette situation pour réussir facilement leurs attaques.
La formation devrait être mise à l’épreuve
Vous pouvez former vos employés à repérer un email de phishing, mais comment pouvez-vous savoir si votre formation a été efficace ? Si vous ne faites pas d’exercices de simulation de phishing, vous ne pouvez pas être certain qu’elle ait été efficace.
Il y aura toujours des employés qui auront besoin de plus de formation que d’autres et des employés qui n’y prêteront pas attention pendant la formation. Vous devez trouver ces maillons faibles et la meilleure façon d’y parvenir est d’utiliser des exercices de simulation de phishing.
Faites des exercices de phishing factice et vérifiez si vos employés mettent régulièrement leur formation en pratique. Si un employé échoue à un test de phishing, vous pouvez l’identifier pour recevoir une formation supplémentaire. Chaque simulation ratée peut être considérée comme une occasion de formation. Avec de la pratique, les techniques d’identification par email par phishing s’amélioreront.
Comment repérer un email de phishing ?
La plupart des employés reçoivent quotidiennement des emails de phishing. Certains sont faciles à identifier, d’autres moins. Heureusement, les filtres antispams captent la plupart de ces emails, mais pas tous. Il est donc essentiel de former régulièrement les employés à repérer un email de phishing. Une session de formation par an n’est plus suffisante.
Les escrocs changent constamment de tactique. Il est important de s’assurer que les employés sont tenus au courant des dernières menaces.
Au cours de vos séances de formation régulières, montrez à vos employés comment repérer un email de phishing et quoi faire lorsqu’ils reçoivent des messages suspects. Mettez-les en garde, en particulier, contre les tactiques suivantes :
Noms d’affichage usurpés
Le rapport sur le phishing, publié en 2017 par GreatHorn, indique que 91% des attaques de spear phishing sont des usurpations d’identité. Cette tactique fait croire au destinataire qu’un email a été envoyé par un collègue de confiance, un ami, un membre de la famille ou une entreprise. C’est l’un des moyens les plus importants de détecter un courrier électronique de phishing.
Atténuation : Former les employés à faire passer la flèche de leur curseur de leur souris sur l’expéditeur de l’email pour afficher sa véritable adresse email.
Vous devriez donc former les employés à transmettre ces emails plutôt qu’à y répondre. En faisant cela, l’adresse réelle de l’email va s’afficher.
Compromis sur les comptes de messagerie
Cette année, les escroqueries par email d’affaires (BEC) ont grimpé en flèche. Ces escroqueries ont été largement utilisées pour obtenir des renseignements fiscaux sur le formulaire W-2 pendant la saison fiscale.
Cette méthode d’attaque implique l’utilisation de comptes de messagerie électronique réels — généralement ceux du PDG ou de cadres supérieurs — pour envoyer des demandes aux employés pour effectuer des virements bancaires et envoyer des données sensibles.
Atténuation : Mettre en œuvre des politiques qui exigent que toutes les demandes de renseignements sensibles par email soient vérifiées par téléphone et que toutes les nouvelles demandes de virement bancaire soient vérifiées.
Compromis sur les comptes de messagerie
Cette année, les escroqueries par email d’affaires (BEC) ont grimpé en flèche.
Ces escroqueries ont été largement utilisées pour obtenir des renseignements fiscaux sur le formulaire d’impôts W-2 pendant la saison fiscale.
Cette méthode d’attaque implique l’utilisation de comptes de messagerie électronique réels — généralement ceux du PDG ou de cadres supérieurs — pour envoyer des demandes aux employés ; effectuer des virements bancaires et envoyer des données sensibles.
Atténuation : Mettre en œuvre des politiques qui exigent que toute demande de renseignements par email de nature délicate soit vérifiée par téléphone et que toute nouvelle demande de virement bancaire et tout changement de compte soient vérifiés.
Hyperliens vers des sites Web de phishing
Le rapport trimestriel de Proofpoint sur les menaces, pour le troisième trimestre, a montré une augmentation de 600% de l’utilisation d’URL malveillantes dans les emails de phishing d’un trimestre à l’autre, et une augmentation de 2,200% par rapport à la même période l’année dernière.
Ces URL dirigent généralement les utilisateurs vers des sites sur lesquels on leur demande de se connecter en utilisant leurs identifiants de messagerie. Souvent, ils sont liés à des sites où des malwares peuvent être téléchargés à leur insu.
Atténuation : Formez vos employés pour qu’ils passent la flèche de leur curseur de leur souris sur l’URL pour afficher la véritable URL. Encouragez-les à visiter les sites Web en entrant l’URL manuellement, plutôt que d’utiliser des liens intégrés.
Alertes de sécurité et autres situations d’urgence
Les escrocs veulent que les destinataires des emails agissent rapidement. Plus la réponse est rapide, mieux c’est. Si les employés s’arrêtent et réfléchissent à la demande ou vérifient attentivement l’email, il y a de fortes chances que l’arnaque soit détectée.
Les emails de phishing comprennent souvent une demande urgente ou un besoin immédiat d’intervention. Ils font par exemple une annonce du genre : votre compte sera fermé, vous perdrez votre crédit, votre colis ne sera pas livré, votre ordinateur est en danger, etc.
Atténuation : Former vos employés pour qu’ils s’arrêtent et réfléchissent avant de répondre à un email. Une demande par email peut sembler urgente et contenir une menace, mais cette tactique est couramment utilisée pour inciter les gens à prendre des mesures rapides et par inadvertance.
Recherchez les fautes d’orthographe et les erreurs grammaticales
De nombreuses escroqueries par phishing proviennent de pays africains, d’Europe de l’Est et de Russie, notamment dans les endroits où le français ou l’anglais ne sont pas les langues principales. Bien que les escroqueries par phishing soient de plus en plus sophistiquées et que l’on fasse plus attention à la rédaction des emails, les fautes d’orthographe et la mauvaise grammaire sont encore courantes et sont un indicateur clé que les emails ne sont pas authentiques.
Atténuation : Former les employés à rechercher les fautes d’orthographe et les fautes grammaticales. Il faut qu’ils vérifient soigneusement leurs emails avant de répondre.
Pourquoi un filtre antispam est-il maintenant essentiel ?
La formation des employés sur la détection d’un email de phishing devrait faire partie de votre stratégie de cybersécurité, mais la formation à elle seule ne suffira pas à prévenir toutes les atteintes à la protection des données liées au phishing.
Il peut y avoir une culture de sécurité au sein de votre entreprise. Vos employés peuvent être compétents en matière de détection d’attaques de phishing, mais chaque employé peut avoir un jour férié d’un moment à l’autre. Il est donc important de réduire autant que possible l’arrivée des emails de phishing dans les boîtes de réception de vos employés. Pour ce faire, vous avez besoin d’une solution avancée de filtrage du spams.
SpamTitan bloque plus de 99,9% des spams et inclut deux antivirus pour bloquer les messages malveillants. Offrant un faible taux de faux positifs, cette solution garantit également que les emails authentiques ne déclenchent pas le filtre antispams pour qu’ils puissent arriver dans les boites de réception de vos employés.
Si vous voulez améliorer vos défenses de sécurité, formez vos employés sur le repérage des emails de phishing et utilisez SpamTitan pour les empêcher d’atteindre les boîtes de réception. Avec des solutions technologiques et humaines, vous serez mieux protégés.
Infographie qui vous aide à former le personnel sur la façon de repérer un email de phishing
Voici une infographique qui souligne l’importance de former le personnel à la détection d’un email de phishing et de certains des identificateurs communs qui indiquent qu’un email n’est pas authentique.