Les intrusions cybercriminelles sont le plus souvent précédées d’attaques de phishing, en particulier d’attaques de spear phishing.
Ces derniers temps, les cabinets d’avocats sont devenus des cibles privilégiées.
Il y a des raisons impérieuses à cette situation. Brian Levine, de la Section de la criminalité informatique et de la propriété intellectuelle du Ministère de la Justice des États-Unis, a déclaré que les cabinets d’avocats sont perçus comme étant moins sécuritaires que les autres organisations.
Les cybercriminels les considèrent comme une porte dérobée, c’est-à-dire une véritable menace pour l’intégrité et la préservation de la confidentialité des données de leurs clients… Mais quel genre de données ?
Les cabinets d’avocats agissent en tant qu’entrepôts de données sur leurs clients et employés. Ils ne sont donc pas à l’abri des cyberattaques.
Ils sont, à bien des égards, les cibles parfaites. La plupart d’entre eux possèdent une grande quantité d’informations personnellement identifiables, que ce soit celles de leurs clients, de leurs employés ou de leurs parties et témoins dans les litiges. Il peut également s’agir d’informations sur les opérations en cours et les questions juridiques, de secrets commerciaux, d’informations privées sur les dirigeants d’entreprise, etc.
Ces données sont irrésistiblement attrayantes pour les cybercriminels du monde entier.
Les cabinets d’avocats plus sensibles aux attaques de phishing
Est-il vrai que la cybersécurité dans les cabinets d’avocats est plus laxiste ?
Voici donc un exemple !
Jusqu’à récemment, la plupart des employés des cabinets d’avocats accédaient régulièrement à leurs e-mails personnels pendant les heures de travail sur les ordinateurs de l’entreprise. Cette pratique est interdite depuis longtemps dans la plupart des entreprises financières.
Selon Keith Lee, chroniqueur qui travaille pour http://abovethelaw.com, les avocats ne sont pas aussi experts en technologie que ceux intervenant dans le secteur financier ou manufacturier. Cela peut les rendre plus vulnérables aux attaques de phishing.
La question de sécurité, et plus particulièrement celle liée aux attaques de phishing, est devenue un sujet important dans la communauté juridique.
En mars 2016, l’American Journal of Trial Advocacy a tenu un symposium intitulé « Practicing Law in the Age of Surveillance and Hackers: An Exploration of Privacy and Data Security.Exploration ». La récente conférence ABA TECHSHOW a également accueilli une table ronde intitulée « Security Awareness and Phishing ».
Exemples de phishing
1. En mars 2016, 13 des 15 cabinets d’avocats les plus prestigieux ont été ciblés par « Oleras », un gang cybercriminel basé en Ukraine. Le gang a planifié une campagne de spear phishing afin de recueillir des informations qui pouvaient être utilisées pour des délits d’initiés.
2. En mai 2016, des membres du Barreau de l’État de Floride ont été victimes de phishing entrainant le téléchargement de ransomwares. Un faux e-mail ayant pour objet « Florida Bar Association Past due Invoice » était envoyé par les pirates. Les avocats du Nevada ont ensuite reçu des e-mails de phishing qui faisaient référence à des cotisations impayées ou des avis de plainte disciplinaire. Selon l’ABA Journal, les membres du barreau de Californie, de Géorgie et d’Alabama ont été ciblés.
Les escrocs se font passer pour des cabinets d’avocats
Les cybercriminels ont sali la réputation de nombreux cabinet d’avocats.
En août 2016, la société Sidley Austin était l’expéditeur présumé d’un e-mail de phishing informant le destinataire d’un héritage.
En 2015, des e-mails de phishing provenant de la firme Baker & McKenzie affirmaient également que les destinataires étaient impliqués dans des dossiers de recouvrement de créances. Des e-mails de phishing similaires affirmaient que les destinataires étaient tenus de comparaître devant le tribunal.
Protégez votre entreprise et votre réputation
Sur le plan éthique, les cabinets d’avocats devraient faire de leur mieux pour protéger les données de leurs clients.
En outre, il existe de multiples règles types de l’American Bar Association (ABA) qui stipulent les règles concernant la protection des données des clients et, par extension, des infrastructures informatiques. Il y a eu une augmentation des avis consultatifs à cet effet de la part des comités d’éthique en Californie, à Washington et en Arizona, entre autres.
Certains experts estiment qu’il est temps que la sécurisation incorrecte des systèmes informatiques puisse être interprétée comme une faute professionnelle. Suite à cela, certains des plus grands cabinets d’avocats ont rejoint le Financial Services Information Sharing and Analysis Center, un groupe de partage d’information sur les cybercriminalités.
Mesures visant à empêcher les attaques de phishing
Les attaques de phishing ne cesseront tant qu’elles restent rentables pour les attaquants. Toutefois, il existe des mesures que vous pouvez prendre pour les contrer :
Tout d’abord, l’étape clé consiste à modifier le comportement des utilisateurs lorsqu’ils sont confrontés à un e-mail de phishing. Le conseil évident est de ne pas cliquer sur des liens étranges dans les e-mails. Le problème est que les e-mails de phishing sont de plus en plus convaincants. Selon le rapport de Verizon, 30 % des gens tombent dans le piège du phishing par e-mail.
La formation des utilisateurs sur le phishing et l’ingénierie sociale en général serait utile pour réduire le nombre d’e-mails qui pourraient mener à des cyberattaques. À cet égard, il existe un certain nombre de sites web prêts à l’emploi qui offrent une formation sur le phishing. Il suffit de taper « formation au phishing » pour obtenir une liste et s’informer davantage à ce sujet.
Pourquoi ne pas récompenser vos employés pour une « prise du jour » ? Demandez-leur de faire suivre des e-mails de phishing aux responsables informatiques. Chaque semaine, vous pouvez remettre un prix au lauréat ; faire connaître la tentative et sensibiliser vos employés pour qu’ils puissent rester toujours vigilants.
Soyez prudent lorsque vous affichez des informations concernant les activités de vos employés sur votre site web ou sur les médias sociaux. Les cybercriminels peuvent passer ces sites au peigne fin pour obtenir des renseignements dans le but de rendre leurs e-mails plus réels.
Neuf mesures pour prévenir une atteinte à la sécurité
Étant donné que les attaquants changent constamment de tactique, il est impossible de prévenir toutes les attaques. Plusieurs mesures peuvent néanmoins être prises pour réduire les risques, comme la mise à jour des logiciels antivirus, la mise en place de filtres web et de pare-feux. Une approche par couches est aussi essentielle. Pour vous aider à prévenir une brèche de sécurité, l’approche devrait inclure les étapes suivantes :
Effectuez une évaluation des risques qui peut souvent être facilitée par les services de fournisseurs de solutions informatiques compétents, objectifs et indépendants.
Utilisez la technologie de chiffrement appropriée des serveurs, des ordinateurs de bureau, des ordinateurs portables et de tout appareil mobile.
Limitez l’accès aux systèmes informatiques, à la messagerie électronique et aux répertoires aux seuls utilisateurs connus et dignes de confiance. Mettez en œuvre et respectez les politiques appropriées en matière de mots de passe.
Élaborez et suivez une politique de conservation et de destruction des données afin que les données personnelles ne soient pas en danger. Les cabinets d’avocats devraient analyser soigneusement où celles-ci vont être stockées et limiter le nombre d’endroits où elles sont conservées.
Maintenez à jour les logiciels de sécurité antispam et antivirus en appliquant régulièrement les correctifs recommandés.
L’arsenal de sécurité de l’entreprise devrait inclure une passerelle de messagerie sécurisée, des filtres antispam avancés, de multiples moteurs antivirus, une protection antiphishing et une protection avancée contre les menaces.
Sensibilisez vos employés à la protection des données sensibles ; à l’utilisation et à la protection des mots de passe.
Mettez en œuvre et suivez une politique d’utilisation écrite, expliquant comment l’accès et l’utilisation d’Internet devraient être effectués sur les ordinateurs de l’entreprise. Cette politique doit aussi, et tout particulièrement, déterminer les limites de son utilisation.
Enfin, élaborez un plan complet de préparation à l’atteinte à la protection des données afin de prendre des mesures décisives et d’éviter la paralysie opérationnelle si un tel incident venait à se produire.
En réfléchissant bien et en planifiant soigneusement, les cabinets d’avocats peuvent réduire considérablement leur exposition à une attaque de phishing et à une éventuelle atteinte à la protection des données. Sinon, ils risquent de subir de pertes financières directes. Cela portera également une grave atteinte à la réputation de l’entreprise.
Vous êtes un professionnel de l’informatique dans un cabinet d’avocats et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de vos employés soient protégés ? Parlez à un de nos spécialistes de la sécurité web ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
L’année qui vient de s’écouler dépasse probablement les attentes après l’identification, en janvier, de nouvelles souches de malwares intitulées Popcorn Time et Spora. Désormais, une nouvelle souche a dévoilé sa présence sombre et porte bien son nom, Satan.
Satan est la dernière menace malveillante dévoilée sous la forme de Ransomware as a Service ou RaaS. La prémisse derrière RaaS est similaire à la plupart des offres de Software as a Service dans la mesure où une nouvelle variante de ransomware est créée et ensuite commercialisée via des canaux de distribution pour que les clients puissent l’acheter. Les pirates informatiques ayant peu de connaissances ou de compétences ainsi que les gens ordinaires avec peu ou pas de scrupules peuvent s’abonner à RaaS et essentiellement démarrer une entreprise d’extorsion clé en main. Ils peuvent ensuite distribuer des malwares aux victimes potentielles dans l’espoir d’en tirer profit. Chaque fois qu’une victime paie une rançon, l’abonné et le créateur de la rançon se partagent la prise.
Comment fonctionne le ransomware Satan ?
Le virus Satan est accessible via son site web dédié sur Tor, un réseau informatique superposé mondial et décentralisé.
Contrairement aux formes antérieures de RaaS qui facturent des frais initiaux, allant de 39 à 400 $, Satan est gratuit. Le site affiche bien en évidence l’explication suivante :
Satan est libre. Il vous suffit de vous inscrire sur le site.
Satan est très facile à déployer. Vous pouvez créer votre ransomware en moins d’une minute.
Satan utilise Tor et l’anonymat Bitcoin.
L’exécutable de Satan n’est que de 170 kb.
En plus du logiciel de ransomware, les créateurs offrent un certain nombre de fonctions supplémentaires, y compris les relevés de paiement des frais et le suivi des transactions afin que les abonnés puissent voir combien d’instances ont été fructueuses, ainsi que le montant de leurs paiements.
Afin d’aider les vrais amateurs, Satan propose des tutoriels faciles à suivre pour aider les abonnés à créer des compte-gouttes qui servent de mécanisme de diffusion des malwares par le biais d’un spam ou d’un téléchargement par drive-by. L’interface Satan comprend même une zone dans laquelle les abonnés peuvent traduire leur ransomware dans différentes langues afin de communiquer avec leurs victimes pour mieux les guider dans le processus de paiement.
Comme pour la plupart des versions récentes de ransomwares, il existe un portail de service à la clientèle qui permet aux abonnés d’émettre des demandes de service. Une fois inscrits, les abonnés se voient offrir une clé publique pour l’authentification à deux facteurs et sont tenus de connecter un portefeuille bitcoin à leur compte afin de recevoir leur part des paiements en cas d’obtention d’une rançon.
Pour tout cela, les créateurs de Satan ne prennent qu’une commission de 30 %, et ce taux peut être négocié une fois qu’un abonné atteint un volume élevé de transactions réussies. A noter que la rançon recommandée est actuellement de un bitcoin.
La prolifération des ransomwares
Les attaques de Satan et d’autres RaaS augmentent la prolifération des ransomwares, car un plus grand nombre de pirates, avertis ou non, participent à cette activité criminelle rentable.
En raison de la simplicité de la souscription et de la mise en œuvre du plan d’affaires de Satan, cette nouvelle version va certainement assombrir l’année à venir.
Autres nouvelles variantes de Ransomware
Les créateurs de ransomwares continuent d’intégrer les innovations dans leurs produits néfastes. Les dernières fonctionnalités incluent :
Fileless ransomware : Cette variante ne nécessite aucun téléchargement de fichier dédié pour implémenter le processus d’infection. Au lieu de cela, le code malveillant est soit intégré dans un langage de script natif, soit écrit directement en mémoire à l’aide d’outils administratifs légitimes tels que PowerShell, selon les experts en cybersécurité. Ainsi, rien ne doit être écrit sur le disque, ce qui signifie que les antivirus basés sur des signatures ne peuvent pas détecter leur présence.
De nouvelles variantes ciblent maintenant les Snapshots de copie D’ombre de Volume (VSS) et les suppriment, rendant impossible toute tentative de restauration à partir de fichiers de sauvegarde.
Fin janvier, une école d’infirmières de Californie a été victime d’une attaque de ransomware via une clé USB. Non seulement les fichiers locaux de la machine infectée ont été chiffrés, mais le malware était également capable d’attaquer le compte Google Drive de la victime puisque le service de synchronisation Google était exécuté sur l’appareil infecté. Comme il s’agissait de la seule solution de secours de la victime, tous les fichiers ont été perdus depuis que l’école a décidé de ne pas payer la rançon. La bonne nouvelle, c’est que l’infection était limitée à un seul appareil, car il était rapidement déconnecté du réseau dès sa découverte.
Dans la plupart des cas, les attaquants par ransomware ont limité leur cible au système d’exploitation Windows. Pourtant, de nouvelles fonctionnalités ont été découvertes dans lesquelles les cybercriminels commencent à cibler à la fois les systèmes UNIX et Linux afin d’élargir leur couverture et leurs possibilités de bénéficier des transactions réussies.
Heureusement jusqu’à présent, les taux d’infection et d’exposition enregistrés au malware Satan sont faibles. Cela dit, 2017 s’annonce comme une autre année sombre pour la sécurité des réseaux grâce au rythme croissant auquel les nouvelles variantes de ransomwares arrivent sur le marché. Actuellement, les ransomwares sont la menace de malwares dont la croissance est la plus rapide. Leur rythme d’évolution s’accélère également, rendant chaque nouvelle variante plus sophistiquée et plus dangereuse que son prédécesseur.
Les technologies de sécurité doivent être simples et faciles à déployer, car les complexités augmentent les risques de cybercriminalité. La sécurité doit être inhérente et omniprésente dans l’ensemble de l’entreprise, y compris l’ensemble du réseau, le centre de données, les points finaux et le cloud. Appuyez-vous sur vos fournisseurs de sécurité et mettez à profit leur expérience approfondie pour améliorer la sécurité de votre entreprise.
Voici un scénario au cours duquel un attaquant parvient à pénétrer votre pare-feu. Qu’est-ce qui l’empêche de compromettre l’ensemble de votre réseau ?
C’est la raison d’être de la défense en profondeur.
Le but est de sécuriser chaque périphérique du réseau, empêchant ainsi un attaquant de sauter d’un périphérique à l’autre.
Verrouillez les périphériques de frontière de votre réseau
Commençons par les périphériques de frontière de votre réseau. Il peut s’agir d’un pare-feu ou d’un routeur. Vous pouvez utiliser des listes d’accès pour bloquer les trafics entrants suivants :
Mises à jour de routage: Vérifiez si votre réseau doit recevoir des mises à jour de routage des IGRP (Interior Gateway Routing Protocols) comme RIP, OSPF, ou EIGRP. Cela dépendra de la conception de votre réseau.
Maintenant, faites de même pour les protocoles tels que MPLS et BGP. Les mises à jour de routage peuvent consommer énormément de bande passante. En les réduisant au minimum, vous pouvez réduire l’encombrement du réseau.
Adresses privées: Votre réseau ne devrait pas recevoir de requêtes avec une adresse de source privée puisque les adresses privées sont utilisées sur des réseaux privés. Bien entendu, cela inclut les adresses réseau unicast privées typiques 192.168.0.0.0/16, 172.16.0.0.0/12 et 10.0.0.0.0/8. Mais n’oubliez pas de bloquer les adresses IP suivantes :
0.0.0.0/8 — pour les messages diffusés sur le réseau,
0.0.0.0/8 — pour une adresse en boucle vers l’hôte,
0.0.0.0/8 — utilisé lorsqu’un dispositif s’attend à recevoir une adresse DHCP, mais n’en reçoit pas,
0.0.0.0/3 — Adresses multidiffusions vers des adresses expérimentales.
Une ou plusieurs DMZ peuvent être utilisées pour créer une « frontière à l’intérieur d’une frontière » pour le réseau. Séparez tous les appareils qui échangent des données directement avec le monde extérieur tels que les serveurs web, les serveurs de messagerie, etc., puis installez un pare-feu entre ces appareils et votre réseau principal. Cet isolement aidera à protéger la majeure partie du réseau contre les attaques, les virus, les chevaux de Troie, et bien d’autres.
Vous avez beaucoup de dispositifs à sécuriser ?
Depuis les périphériques de frontière, le trafic se déplace à travers toutes sortes de périphériques au sein de votre réseau. Chaque type d’appareil possède des capacités de sécurité et des vulnérabilités différentes. Par-dessus tout, vous devez connaitre vos appareils, par exemple, le comportement de certains commutateurs. Par défaut, ces derniers négocient un port en mode Trunk. Sans configuration supplémentaire, un port en mode Trunk transmet les données de n’importe quel VLAN. Vous pouvez corriger ce problème en définissant toutes les interfaces en tant que ports en mode Trunk ou non-Trunk.
L’un des avantages des pare-feu est qu’il bloque la plupart du trafic par défaut. C’est excellent pour la sécurité, bien qu’un peu incommode pour ceux qui aiment utiliser « ping » pour vérifier la connectivité. D’autre part, les routeurs, commutateurs et serveurs ont tendance à nécessiter de nombreuses configurations pour le renforcement de la sécurité.
Tirez parti des sous-routines de sécurité automatisées ou des scripts fournis par le fabricant. Ils désactivent les services inutiles, restreignent les adresses privées et publiques et ferment les interfaces inutiles. Les routines en conserve peuvent vous faire gagner beaucoup de temps et vous fournir au moins un niveau de sécurité minimum.
Les serveurs d’authentification, les pare-feu et les périphériques IPS/IDS doivent tout particulièrement être pris en compte. La plupart d’entre eux peuvent être configurés en Fail-open ou Fail-closed par défaut. Fail-open signifie que si l’appareil tombe en panne, tout le trafic est autorisé. Dans ce cas, les informations d’identification ne sont plus vérifiées et le trafic n’est plus bloqué. En cas de Fail-closed par défaut, la connectivité est interrompue.
Si la politique de votre entreprise estime que la sécurité est plus importante, utilisez Fail-close. Par contre, si la disponibilité du service est plus importante, optez pour la fonction Fail-open.
Sécurité du routeur et défense en profondeur
Les routeurs sont dotés de nombreux types de fonctions de sécurité, y compris les pare-feu et les modules IPS/IDS. Le cœur de la sécurité de tous les routeurs, cependant, est la puissante liste d’accès. Les listes d’accès vous permettent d’adapter votre sécurité à vos besoins de données et de trafic spécifiques, interface par interface, pour les couches 3 et 4.
D’autres paramètres s’appliquent à une interface spécifique, et non à l’ensemble de l’appareil. Envisagez de bloquer les éléments suivants :
Redirection d’adresse IP — Les messages de redirection ICMP sont utilisés par les routeurs pour informer les hôtes sur la liaison de données qu’une meilleure route est disponible pour une destination particulière. Un routeur ne doit envoyer des redirections qu’aux hôtes du sous-réseau local.
Diffusion dirigée par IP — Une diffusion dirigée est envoyée sous forme de paquet unicast jusqu’à ce qu’elle arrive sur le sous-réseau cible, où elle devient une diffusion en couche liaison. C’est une bonne idée de bloquer les paquets envoyés à l’adresse de diffusion d’un autre sous-réseau.
Protocoles de résolution d’adresse Proxy — ceci permet aux requêtes ARP de couvrir plusieurs segments du réseau local (LAN). Avant les protocoles de redondance de premier saut tels que le Protocole de Redondance de Routeur Virtuel (VRRP) et le Protocole de Routeur de Secours Chaud (HSRP), les ARP proxy étaient importants pour maintenir la connectivité. Maintenant, ce n’est plus vraiment le cas, sauf pour le protocole de communication Mobile-IP, où Proxy ARP est utilisé pour le transfert.
Adresses IP inaccessibles – Un routeur répond avec ces paquets ICMP lorsqu’il reçoit un paquet non diffusé qui utilise un protocole inconnu ou lorsque le routeur n’a pas de route vers l’adresse de destination. Les adresses IP inaccessibles divulguent trop d’informations sur votre réseau à des attaquants potentiels.
Sécurité des commutateurs
Dans la mesure du possible, utilisez des VLAN.
C’est le moyen le plus simple d’avoir différents réseaux pour la gestion et le trafic de données et pour les serveurs. En fait, la plupart des serveurs nécessitent des réseaux séparés. Certains commutateurs offrent des VLAN privés, ce qui limite davantage le trafic entre les périphériques.
Configurez la sécurité des ports
Cela protège contre les attaques clandestines, et bien d’autres. Pour les environnements hautement sécurisés, vous pouvez même configurer un port pour n’accepter qu’une connexion d’adresse MAC spécifique.
Mais réfléchissez bien avant d’utiliser une affectation d’adresse mac statique, car cela peut rendre les déménagements de bureau, les mises à niveau de matériel et BYOD un véritable cauchemar pour l’administrateur réseau.
Le protocole Spanning Tree Protocol (STP), dans ses différentes variantes, est essentiel au bon fonctionnement du commutateur. Les utilisateurs qui connectent des routeurs et des commutateurs domestiques au réseau peuvent faire des ravages avec le STP.
Assurez-vous donc que les ports de votre commutateur sont configurés avec des extensions STP telles que BPDU Guard et Root Guard.
On y est déjà ?
La défense en profondeur sécurise chaque dispositif du réseau et non seulement les périphériques de frontière. Cette approche offre une sécurité solide et résiliente qui peut être adoptée au coup par coup en fonction de l’évolution de vos besoins technologiques et opérationnels.
N’hésitez pas à nous contacter pour toute question relative à la sécurité. Nous nous ferons un plaisir de vous aider. E-mail : info@titanhq.com
Les escroqueries par phishing du Black Friday sont monnaie courante cette année. À près d’une semaine, avant que les gros rabais ne soient offerts par les détaillants en ligne, les fraudeurs ont intensifié leurs efforts pour escroquer les consommateurs.
Les campagnes de spams ont commencé bien avant le Black Friday cette année et les escroqueries ont été nombreuses et variées. Les e-mails de phishing du Black Friday sont envoyés pour faire le lien avec des sites web nouvellement créés dans le seul but de frauder les consommateurs ou de diffuser des malwares et des ransomwares. C’est peut-être le moment idéal pour faire une bonne affaire, mais c’est aussi le moment de l’année où l’on peut être victime d’une escroquerie et être infecté par des malwares.
Un grand nombre de spams et de sites web frauduleux ont été détectés au cours des dernières semaines. Ils ciblaient tous des acheteurs désireux de faire une bonne affaire. Cette année, nous avons vu la collection habituelle d’offres presque trop bonnes pour être vraies sur les grandes marques et les produits les plus populaires, des cartes-cadeaux gratuites, des coupons de réduction et des tirages au sort.
Toute personne qui se connecte à Internet au cours des prochains jours dans le but de faire ses achats pour les fêtes doit être vigilante. Les escrocs sont prêts et attendent de pouvoir en profiter. Pour profiter des offres légitimes des détaillants, il faut de la rapidité, car elles sont limitées. Les acheteurs savent donc qu’ils doivent agir rapidement pour faire une bonne affaire. Les escrocs jouent le même jeu et proposent des offres limitées dans le temps pour inciter les destinataires des e-mails malveillants à agir rapidement sans réfléchir, afin de ne pas passer à côté d’une affaire exceptionnelle.
Cette période de l’année voit toujours une augmentation importante des spams et d’autres formes d’escroqueries. Mais en 2019, les arnaques étaient beaucoup plus sophistiquées, comparées à celles des années précédentes. Non seulement les escrocs insistent sur une réponse rapide, mais plusieurs campagnes ont été identifiées et qui étaient plus susceptibles de duper plus de victimes.
Afin de bénéficier d’offres spéciales ou d’obtenir plus d’offres, les escrocs demandent aux utilisateurs de transmettre des e-mails ou de partager des messages de médias sociaux avec leurs amis et contacts. Cette tactique est très efficace, car les gens sont plus susceptibles de répondre à un message provenant d’un ami.
Dans quelle mesure les escrocs sont-ils actifs dans la course au Black Friday et au Cyber Monday ?
Selon une analyse de Check Point, le nombre d’URL de phishing dans le commerce électronique a augmenté de 233 % en novembre. Ces URL sont envoyées dans le cadre de campagnes de spam de masse pour diriger les gens vers de faux sites de commerce électronique qui se font passer pour de grandes marques. Ces sites sont des copies virtuelles des sites légitimes, à l’exception de l’URL.
Si les consommateurs doivent se méfier des escroqueries par phishing du Black Friday et des téléchargements potentiels de malwares et de ransomwares, les entreprises devraient également être sur un pied d’alerte. Avec les offres authentiques qui vont et viennent à grande vitesse, les employés sont susceptibles de s’aventurer en ligne pendant les heures de travail pour faire une bonne affaire. Cela pourrait facilement entraîner une infection coûteuse par des malwares ou des ransomwares.
Les escroqueries ne se limitent pas à la période précédant le Black Friday. On peut s’attendre à des escroqueries du Cyber Monday, et comme la période des fêtes approche à grands pas, les cybercriminels demeurent très actifs. C’est une période de l’année où vous devriez augmenter vos protections contre les spams, surveiller plus attentivement vos rapports et alerter vos employés sur les menaces. Un e-mail d’avertissement aux employés sur les risques d’escroquerie par phishing et de sites web malveillants pendant la période des fêtes pourrait bien aider à prévenir une coûteuse atteinte à la protection des données ou une infection par un malware.
C’est aussi une période de l’année où la mise en place d’une solution de filtrage web peut s’avérer rentable. Les filtres web empêchent les employés de visiter les sites web qui hébergent des kits d’exploitation ; des kits de phishing et d’autres sites malveillants connus. Ils peuvent également être configurés pour bloquer les téléchargements de fichiers malveillants. Un filtre web est une couche supplémentaire importante à ajouter à vos défenses contre le phishing et pour vous protéger contre les attaques basées sur le web.
Si vous n’avez pas encore mis en place un filtre web, c’est le moment idéal. TitanHQ propose un essai gratuit de WebTitan pour vous permettre de constater l’efficacité de ce dernier dans le blocage des menaces basées sur le web. De plus, vous pouvez implémenter la solution en quelques minutes et bénéficier d’une protection quasi-instantanée contre les attaques de phishing basées sur le web et les infections de malwares pendant les fêtes de fin d’année.
L’objectif de cet article est de vous fournir quelques bonnes pratiques faciles à adopter en matière de sécurité de la messagerie électronique. Elles vous permettront d’améliorer grandement la posture de sécurité de votre organisation.
L’email est le vecteur d’attaques cybercriminelles le plus courant !
N’importe quel système de messagerie professionnelle risque d’êtes attaqué par les pirates informatiques un jour où l’autre. Des mesures de sécurité doivent donc être mises en place. Pour les entreprises, la meilleure solution de sécurisation des emails consiste à supprimer complètement leur compte de messagerie. Seulement, elles comptent sur la messagerie courrier électronique pour communiquer avec leurs clients, partenaires et fournisseurs. Ce n’est tout simplement pas la meilleure option.
Non seulement la messagerie électronique facilite la communication entre les personnes qui contribuent au bon fonctionnement d’une entreprise, mais elle permet également aux cybercriminels de communiquer facilement avec les employés et de mener des attaques de phishing, de répandre des malwares, etc.
La sécurité des emails est donc essentielle, mais il n’existe pas de solution unique pour protéger ce canal de communication. Une solution de filtrage du spam empêchera par exemple la majorité des spams et des emails malveillants d’atteindre les boîtes de réception des utilisateurs finaux. Pourtant, quel que soit le filtre anti-spam que vous implémentez, il ne pourra pas bloquer 100 % des emails indésirables.
La clé d’une sécurité robuste de la messagerie électronique est basée sur les défenses à plusieurs niveaux. Dans ce cas, si une mesure défensive échoue, d’autres mesures de protection peuvent prendre le relai.
Besoin d’une solution fiable qui combine les mesures de protection technique, physique et administrative pour sécuriser votre système de messagerie électronique ? Même s’il n’existe pas d’approche universelle pour sécuriser la messagerie électronique, nous pouvons proposer quelques pratiques exemplaires en matière de sécurité des emails. Vous pouvez les adopter pour améliorer votre dispositif de sécurité et pour rendre la tâche beaucoup plus difficile aux cybercriminels.
Bonnes pratiques en matière de sécurité des emails à mettre en œuvre immédiatement
Les cybercriminels tenteront d’envoyer des malwares et des ransomwares via la messagerie électronique. Des tactiques de phishing seront également utilisées pour voler des renseignements de nature délicate comme les identifiants de connexion.
Vous trouverez ci-dessous 8 pratiques exemplaires en matière de sécurisation des emails. Si vous n’avez pas encore mis en œuvre l’un ou l’autre de ces conseils, ou si vous ne l’avez fait que partiellement, le moment est venu d’apporter certains changements.
Élaborez un plan de cybersécurité pour votre entreprise
Nous avons choisi ce thème comme première pratique exemplaire parce qu’elle est très importante. Il est essentiel pour vous d’élaborer un plan de cybersécurité complet pour l’ensemble de votre organisation, car toutes les menaces n’arrivent pas via l’email. Les attaques viennent de tous les angles et l’amélioration de la sécurité de la messagerie électronique n’est qu’une des mesures que vous devez prendre pour améliorer votre posture globale de cybersécurité.
Il existe de nombreuses ressources qui peuvent vous aider à élaborer un plan de cybersécurité, en abordant tous les risques cybernétiques. La Commission fédérale des communications a par exemple mis au point un cyberplanificateur dans le but d’aider les entreprises à créer un plan de cybersécurité personnalisé. L’Agence de cybersécurité et de sécurité de l’infrastructure (CISA) du Département de la sécurité intérieure Américain vient également de publier un Cyber guide essentiel pour les petites entreprises et les gouvernements. En France, il existe aussi plusieurs ressources que vous pouvez utiliser lorsque vous voulez élaborer un plan de cybersécurité efficace, alors utilisez-les.
Implémentez une solution avancée de filtrage des spams
Un filtre anti-spam sert de membrane semi-perméable empêchant les messages malveillants d’arriver dans les boîtes de réception de leurs destinataires et laissant passer les messages authentiques sans entrave. Il s’agit de l’une des mesures de sécurité les plus importantes que vous devriez mettre en œuvre pour vous protéger contre les menaces par email et les spams qui peuvent perturber la productivité de vos employés.
Si vous utilisez Office 365, vous bénéficiez déjà d’une certaine protection, car il comprend un filtre anti-spam et un logiciel antivirus. Pourtant, cette solution ne vous protège pas contre les attaques de phishing et ne bloque pas les menaces de malwares du type zero day. Autrement dit, il vous faut une solution de sécurité à plusieurs niveaux pour mieux sécuriser vos emails. Selon les recherches d’Avanan, 25 % des emails de phishing contournent les défenses d’Office 365. Le mieux serait de mettre en place un filtre anti-spam tiers, en plus de cette couche de sécurité.
Il existe de nombreux services de filtrage du spam, mais SpamTitan est le meilleur choix pour les PME, notamment si vous voulez bénéficier d’une protection complète contre les menaces connues et les attaques du type zero day. De plus, cette solution est très facile à mettre en œuvre et à utiliser, pour un prix très accessible.
Assurez-vous que votre solution antivirus analyse les emails entrants
Vous aurez sans doute un logiciel antivirus en place, mais savez-vous qu’il scanne les emails entrants ? La messagerie électronique est l’un des principaux moyens de transmission de malwares. Il est donc évident de mettre en place un logiciel antivirus pour ce canal de contact. Cela ne signifie pas nécessairement que vous avez besoin d’une solution antivirus différente. Votre solution existante peut avoir cette fonctionnalité.
En effet, votre filtre anti-spam est susceptible d’inclure une protection antivirus. Par exemple, SpamTitan intègre deux moteurs antivirus pour une meilleure protection et un bac à sable où les pièces jointes sont analysées pour détecter les actions malveillantes. Le bac à sable permet de détecter et bloquer les malwares du type zero day, les nouvelles variantes inédites de malwares dont les signatures n’ont pas encore été intégrées dans les moteurs antivirus.
Créez et appliquez des politiques de mots de passe
Une autre pratique exemplaire évidente en matière de sécurité des emails consiste à créer une politique de mots de passe qui exige que des mots de passe forts soient définis. Il ne sert à rien de créer une politique de mots de passe si elle n’est pas appliquée.
Assurez-vous donc d’adopter une mesure de contrôle pour éviter que des mots de passe faibles du genre « 123456 » ne soient définis. Bien entendu, ils sont faciles à retenir, mais ils sont aussi faciles à deviner. N’oubliez pas que les cybercriminels sont pas assis devant leur ordinateur pour deviner un seul mot de passe. Ils font appel à des outils d’automatisation qui leur permettent de deviner des milliers de mots de passe par minute.
Il est recommandé d’exiger un mot de passe d’au moins 8 caractères, avec une combinaison de lettres majuscules et minuscules, de chiffres et de symboles, puis de bloquer l’utilisation des mots du dictionnaire. Encouragez l’utilisation de longues phrases de passe, car elles sont plus faciles à retenir pour les employés.
Vous pouvez aussi consulter les conseils du National Institute of Science and Technology (NIST) sur les pratiques en matière de mots de passe sécurisés si vous n’êtes pas certain de la création de votre politique de mots de passe.
Sinon, assurez-vous que la limitation du débit est appliquée pour empêcher une adresse IP de se connecter après un certain nombre d’échecs de tentatives de connexion.
Mettre en œuvre le protocole DMARC pour mettre fin aux attaques d’usurpation d’identité et de domaine via les emails
DMARC, ou « Domain-based Message Authentication, Reporting & Conformance », est un protocole de messagerie qui utilise « Sender Policy Framework – SPF » et « DomainKeys Identified Mail – DKIM » pour déterminer si un email est authentique.
En créant un enregistrement DMARC, vous empêchez les personnes non autorisées d’envoyer des messages depuis votre nom domaine. DMARC vous permet également de savoir qui envoie des messages à partir de votre domaine, et vous permet de définir une politique pour déterminer ce qui arrive aux messages qui ne sont pas authentiques. Vous pouvez par exemple les mettre en quarantaine ou les rejeter si vous vous doutez de leur fiabilité.
Non seulement le protocole DMARC vous aide à bloquer les attaques d’usurpation d’identité via les emails, mais il prévient également les abus d’utilisation de votre domaine. Votre enregistrement DMARC indique aux serveurs de réception de messages électroniques de ne pas accepter les messages envoyés par des utilisateurs authentifiés, ce qui contribue à protéger votre organisation.
À noter que certaines solutions de sécurité de la messagerie électronique, comme SpamTitan, intègrent l’authentification DMARC.
Mettre en œuvre l’authentification multi-facteurs
L’authentification multi-facteurs est une autre couche de sécurité que vous pouvez ajouter à vos défenses anti-phishing.
Comme son nom l’indique, l’authentification multifactorielle signifie que plus d’une méthode est utilisée pour authentifier un utilisateur. Le premier facteur est généralement un mot de passe. Un deuxième facteur est aussi nécessaire, tel qu’un appel téléphonique, l’envoi d’un code PIN unique ou l’attribution d’un jeton sur un appareil de confiance de l’utilisateur.
Cette solution est vitale, car lors d’une attaque de phishing, le fait d’avoir un mot de passe uniquement n’autorisera pas le pirate d’accéder à un compte de messagerie sans qu’un facteur supplémentaire ne lui soit fourni. La combinaison d’un mot de passe, d’un jeton et d’un code PIN unique est une bonne alternative.
Formez vos employés et formez-les à nouveau
Peu importe le niveau de technicité de vos employés, supposez toujours qu’ils ne connaissent rien en matière de cybersécurité. Ils ne s’en tiendront certainement pas systématiquement aux pratiques exemplaires en matière de sécurité des emails, à moins que vous ne leur donniez une formation à cet effet et que vous ne leur fassiez comprendre le message.
Avant de permettre à tout employé d’avoir accès à la messagerie électronique, vous devriez lui donner une formation de sensibilisation à la sécurité. Votre formation devrait couvrir les meilleures pratiques en matière de sécurité des emails. Entre autres, vous devez lui faire comprendre qu’il ne doit jamais ouvrir les pièces jointes provenant d’un expéditeur inconnu. Il ne doit non plus activer le contenu d’un document à moins que celui-ci n’ait été vérifié comme légitime, ou bien cliquer sur des hyperliens dans les emails. De même, il ne devrait pas envoyer des renseignements très sensibles comme les mots de passe via l’email.
Il est crucial de former vos employés à reconnaître les emails de phishing et bien d’autres messages malveillants, tout en leur disant quoi faire lorsqu’ils reçoivent des emails suspects.
Bref, toute personne ayant accès au à la messagerie électronique ou à un ordinateur doit recevoir une formation de sensibilisation à la sécurité, du chef de la direction jusqu’aux employés.
Une seule séance de formation par an n’est pas suffisante. Vous devriez en offrir régulièrement, envoyer des bulletins d’information sur la cybersécurité pour mettre en garde vos employés contre les dernières menaces et utiliser d’autres outils pour créer une meilleure culture de sécurité dans votre organisation.
Effectuer des exercices de simulation de sensibilisation au phishing
Vous avez donné de la formation à vos employés, mais comment savoir si elle a été efficace ? La seule façon de le savoir est d’effectuer des tests, et le moyen le plus facile pour ce faire est de réaliser des exercices de simulation de phishing.
Le principe consiste à envoyer de faux emails de phishing aux employés au moment où ils ne s’y attendent pas à en recevoir un. Vous serez peut-être surpris du nombre d’employés qui répondent et divulguent des renseignements de nature délicate, ou qui ouvrent des pièces jointes ou cliquent sur des liens dans les faux emails de phishing.
Le but de ces emails est d’identifier les personnes qui n’ont pas bien compris ou qui ont oublié les choses que vous les avez appris lors des séances de formation. Pourtant, l’idée n’est pas de punir ces employés, mais de savoir lesquels de vos employés ont encore besoin d’une formation complémentaire.
Plusieurs entreprises peuvent vous aider à concevoir ce genre de tests. Certains offrent même des faux emails de simulation de phishing gratuits pour les PME.
TitanHQ est là pour vous aider !
La solution SpamTitan de TitanHQ a été conçue pour être facile à mettre en œuvre, à utiliser et à maintenir par les PME. Son déploiement ne nécessite aucun matériel, aucun logiciel, et tout le filtrage se fait dans le cloud.
Non seulement SpamTitan offre une excellente protection contre un très grand nombre de menaces basées sur la messagerie électronique, mais c’est aussi l’une des solutions les moins coûteuses pour les PME.
Appelez l’équipe du TitanHQ dès aujourd’hui pour plus d’informations sur SpamTitan et pour savoir comment vous pouvez protéger votre entreprise contre les menaces basées sur le web. Nous nous ferons un plaisir de répondre à vos exigences de conformité pour les emails.
