Quelle est la meilleure stratégie pour les entreprises afin de se protéger contre les ransomwares, le phishing et les attaques par spoofing ? Il existe de nombreuses stratégies de protection contre ces menaces, mais la sensibilisation et l’éducation des utilisateurs sont de loin les plus efficaces. Pour que les malwares et les ransomwares infectent avec succès vos équipements informatiques, il faut une certaine forme d’interaction de la part de leurs utilisateurs.
Vos utilisateurs sont des pare-feu humains, la dernière défense de votre organisation.
Les entreprises peuvent toujours être des victimes des cyberattaques, malgré des architectures de sécurité multicouches élaborées. C’est particulièrement vrai en matière de messagerie électronique.
La sécurité de la messagerie électronique est désormais essentielle pour toutes les organisations, car c’est la méthode la plus populaire pour les pirates de déployer un code malveillant. Selon les chercheurs d’IBM X-Force, plus de la moitié des messages électroniques sont du spam.
Notre service de filtrage du spam SpamTitan bloque plus de 70 % des courriers électroniques.
Si on considère qu’il y a environ 300 milliards d’e-mails envoyés chaque jour, on peut commencer à comprendre la tâche accablante que les entreprises doivent mener pour assurer la sécurité de leur messagerie électronique.
Compte tenu de la grande quantité de spams qui sont envoyés aux utilisateurs, une solution de sécurité de messagerie qui ne peut pas prétendre un taux fiable de capture de spam (au moins 99 %) ne devrait plus être une option.
Comme le courrier électronique continue d’être le principal moyen de communication pour les entreprises, vous avez également besoin d’une solution de sécurité disposant d’un taux de faux positifs égal ou proche de zéro.
La majorité des spams sont inoffensifs, mais ils peuvent nuire à la productivité des utilisateurs, étant donné que ces derniers vont perdre du temps en triant les e-mails non sollicités ou en cliquant sur des liens publicitaires.
Seul un faible pourcentage de spams contient du code malveillant. Selon Symantec, un utilisateur de messagerie sur neuf a rencontré des malwares au cours du premier semestre 2017.
Cependant, force est de constater que les utilisateurs sont deux fois plus susceptibles de rencontrer des malwares via la messagerie électronique que par tout autre moyen de diffusion.
Cela est dû en partie à l’innovation des créateurs de malwares. Selon Kaspersky Lab, son laboratoire a traité un nombre stupéfiant, plus précisément 360 000 nouveaux fichiers malveillants chaque jour en 2017, soit une hausse de 11,5 % par rapport à l’année précédente. C’est pourquoi il est si important de choisir une solution de sécurité de messagerie avec une protection antivirus intégrée.
Le fait de bloquer le spam n’est plus suffisant. Votre solution de sécurité informatique doit également bloquer les virus, les malwares et les liens qui redirigent les utilisateurs vers des sites Web malveillants.
L’autre raison pour laquelle les utilisateurs continuent d’être exposés aux malwares est la sophistication croissante des attaques de phishing. Selon un article paru dans TechRepublic, 90 % des e-mails de phishing capturés entre le mois de mars et novembre 2016 contiennent des composants de spear phishing conçus pour usurper l’identité d’une personne.
Ces types d’attaques visent à imiter un e-mail envoyé en interne, par un cadre intermédiaire, un cadre supérieur ou une source de confiance. Le but est d’amener un utilisateur à révéler des informations financières ou à fournir des données confidentielles.
Les attaques d’usurpation d’identité ont augmenté de 50 % d’un trimestre à l’autre en 2017. Il s’agit actuellement de la forme de cyberattaque par e-mail qui connaît la croissance la plus rapide.
Les attaques d’usurpation d’identité sont très efficaces pour trois raisons :
- Bien souvent, ces types d’attaques sont très ciblés. Les pirates informatiques peuvent prendre des semaines ou des mois à étudier les protocoles de messagerie ; la culture de la messagerie électronique et les styles d’écriture avant de mettre en œuvre une attaque.
- Les attaques d’usurpation d’identité sont la menace la plus difficile à combattre pour un filtre de messagerie.
- Les utilisateurs sont les plus vulnérables à ces attaques. Les recherches ont montré que même les utilisateurs les plus avertis en matière de sécurité peuvent se faire avoir par des escroqueries d’usurpation d’identité.
Le phishing
Le phishing est une méthode consistant à tenter de recueillir des informations personnelles à l’aide d’e-mails et de sites web malveillants. C’est une forme d’attaque sophistiquée.
Un hameçon est lancé sur la messagerie d’un ordinateur portable avec des leurres au milieu de données abstraites. En réalité, le phishing est une cyberattaque qui utilise des e-mails déguisés comme arme. L’objectif étant de faire croire au destinataire que le message est quelque chose qu’il veut ou dont il a besoin — telle qu’une demande de sa banque ou une note de quelqu’un de son entreprise — et de télécharger une pièce jointe ou de cliquer sur un lien.
Ce qui distingue vraiment le phishing, c’est la forme que prend le message : les escrocs se font passer pour une entité de confiance, souvent une personne réelle ou plausible, ou une entreprise avec laquelle la victime pourrait faire affaire. Il s’agit de l’un des plus anciens types de cyberattaques, qui remonte aux années 1990, et il reste l’un des plus répandus et des plus pernicieux. Mais les messages et les techniques de phishing deviennent de plus en plus sophistiqués.
Le terme est apparu au milieu des années 90 à cause des pirates informatiques qui voulaient inciter les utilisateurs d’AOL à donner leurs informations de connexion. Le « ph » s’inscrit dans une tradition d’orthographe fantaisiste des pirates et a probablement été influencé par le terme « phreaking » — une abréviation de « phone phreaking », la première forme de piratage qui consistait à jouer des sons dans des combinés téléphoniques pour obtenir des appels gratuits.
Près d’un tiers de toutes les brèches qui se sont survenues de nos jours ont impliqué le phishing, selon le rapport Verizon Data Breach Investigations Report. Pour les attaques de cyberespionnage, ce chiffre grimpe à 78 %. La pire nouvelle concernant le phishing est que ses auteurs deviennent beaucoup, beaucoup plus performants grâce à des outils et des modèles bien produits et prêts à l’emploi.
Certaines escroqueries par phishing ont suffisamment bien réussi pour faire des vagues
L’une des attaques de phishing les plus marquantes de l’histoire est peut-être celle qui s’est produite en 2016, lorsque des escrocs ont réussi à amener le président de la campagne d’Hillary Clinton (John Podesta) à offrir son mot de passe Gmail.
L’attaque — au cours de laquelle les photos intimes d’un certain nombre de célébrités ont été rendues publiques — était initialement considérée comme le résultat de l’insécurité des serveurs iCloud d’Apple. Cependant, c’était le produit d’un certain nombre de tentatives de phishing réussies.
En 2016, des employés de l’université du Kansas ont répondu à un e-mail de phishing et ont transmis l’accès aux informations concernant leur chèque de paie, ce qui leur a fait perdre leur salaire.
Le whaling
Le « whale phishing », ou whaling, est une forme de phishing visant les gens les plus importants comme les PDG ou d’autres cibles de grande valeur. Beaucoup de ces escroqueries visent les membres du conseil d’administration d’une entreprise, qui sont considérés comme particulièrement vulnérables. Ils jouissent d’une grande autorité au sein d’une entreprise, mais comme ils ne sont pas employés à plein temps, ils utilisent souvent des adresses électroniques personnelles pour la correspondance professionnelle, qui ne bénéficie pas des protections offertes par la messagerie d’entreprise.
Rassembler suffisamment d’informations pour piéger une cible de grande valeur peut prendre du temps, mais le résultat peut être étonnamment élevé. En 2008, des cybercriminels ont ciblé des PDG d’entreprise en leur envoyant des e-mails qui prétendaient contenir des citations à comparaître du FBI. En fait, ils ont téléchargé des enregistreurs de frappe sur les ordinateurs des dirigeants. Le taux de réussite des pirates informatiques a été de 10 % et ils ont fait près de 2 000 victimes.
Il existe de nombreuses formes de phishing, comme le clone phishing, le vishing et le snowshoeing. Pourquoi le phishing augmente-t-il actuellement ?
Les escrocs comptent sur la tromperie et la création d’un sentiment d’urgence pour réussir leurs campagnes de phishing. Les crises telles que la pandémie de coronavirus leur donnent une grande opportunité d’attirer les victimes en les faisant mordre à l’hameçon.
Pendant une crise, les gens sont sur les nerfs. Ils veulent des informations et cherchent des directives auprès du gouvernement, de leurs employeurs et d’autres autorités compétentes. Un e-mail qui semble provenir de l’une d’une entité légitime et qui promet de nouvelles informations ou demande aux destinataires d’effectuer une tâche rapidement sera probablement moins consulté qu’avant la crise. Un clic impulsif plus tard, et l’appareil de la victime est infecté ou son compte est compromis.
Qu’est-ce qui rend un pare-feu humain efficace contre ces attaques ?
Si un de vos utilisateurs sur neuf pouvait être exposé à des e-mails malveillants, malgré la présence d’un filtre web, il est impératif de créer un programme de surveillance des e-mails dans votre organisation.
Bien entendu, la vigilance en matière de sécurité ne remplacera jamais un système de filtrage en raison du nombre colossal d’attaques par e-mail. Mais un personnel soucieux de la sécurité pourrait constituer la dernière ligne de défense pour protéger votre entreprise.
L’une des premières mesures à prendre est donc de créer de nouvelles politiques qui limitent les possibilités d’escroquerie.
- Créez une politique qui interdit le partage de documents sensibles dans les e-mails. Cela élimine la possibilité qu’une personne réponde à une demande de documents financiers ou de renseignements exclusifs par e-mail.
- Créez une politique qui exige l’authentification multifactorielle pour les transactions financières. Toute demande par e-mail devrait être suivie d’un appel vers un numéro non divulgué pour confirmer un mot de passe ou une phrase secrète.
- Désactivez tous les liens à l’intérieur des corps des e-mails pour forcer les utilisateurs à naviguer manuellement vers n’importe quel site interne.
Chaque organisation doit fournir un niveau minimum de formation à ses utilisateurs pour les aider à identifier les attaques de phishing. Voici certains des signes que chacun d’entre eux doit être en mesure de faire :
- Rechercher différents formats et mises en page d’e-mails qui sont la norme.
- Exiger de tous les utilisateurs utilisent une signature d’e-mail et vérifier les signatures appropriées.
- Rechercher différents styles d’écriture et de grammaire qui ne correspondent pas à la norme.
- Vérifier que les noms d’affichage de tous les e-mails apparaissent normalement.
- Créer un nouvel e-mail plutôt que de simplement répondre à un e-mail demandant des informations sensibles ou des transactions financières.
- Lorsqu’il répond à un e-mail, il vérifie que l’adresse de réponse est conforme à celle attendue et qu’elle n’a pas été modifiée.
Pourquoi la formation de sensibilisation au phishing est-elle importante ?
Combinez la formation à la sensibilisation au phishing et la formation à la sensibilisation à la sécurité pour aider à réduire votre plus grande surface d’attaque : vos employés.
La simulation d’attaques de phishing est aussi importante
La simulation d’attaques de phishing sur vos employés vous permet d’évaluer la maturité de votre organisation en matière de sensibilisation à la sécurité et de développer des initiatives efficaces de formation à la sensibilisation au phishing. Mettez vos employés à l’épreuve et voyez où ils en sont en termes de compétences et de connaissances en matière de sensibilisation à la sécurité.
Les attaques de phishing continueront de faire la une des journaux et de cibler vos employés. Les simulations de phishing peuvent contribuer à renforcer la résilience de votre personnel en matière de sécurité.
Comme les attaquants ne ciblent pas forcément vos employés régulièrement, les simulations de phishing contrôlées leur permettent de rester en alerte. Cela améliore également et en permanence leurs compétences en matière de détection.
Un exemple de simulation
Un matin ordinaire, Luc reçoit environ quarante e-mails sur son compte professionnel. Il les parcourt, supprime les indésirables, ouvre les documents partagés, en envoie certains, lit ceux qui sont urgents, scrute les bulletins d’information et vérifie son agenda de la journée. Cette tâche est normale.
Ces jours-ci, cependant, Luc fait face à sa boîte de réception avec une détermination sinistre. Il y a deux semaines, elle a été attaquée par une équipe d’escrocs dont le but était d’hameçonner l’entreprise de Luc. Il a reçu un e-mail contenant un lien vers un autre site qui semblait être presque identique au nom de l’entreprise. Le fait est que le nom de domaine se terminait par « .org » alors que l’URL réelle du site aurait dû être « .com ». Luc n’a pas remarqué la subtile différence. Après avoir cliqué sur le lien, il a été dirigé vers une page qui ressemblait au site web légitime, qui lui demandait d’entrer son nom d’utilisateur et son mot de passe pour l’échange d’un document téléchargeable. Il s’est exécuté.
En l’espace de trois jours, sa boîte de réception a été inondée d’e-mails méconnaissables. Son compte a été frappé par des messages inattendus et est devenu plein de spams avec des lignes d’objet comme « Delivery Failure », et des messages d’expéditeurs inconnus lui demandant d’arrêter de leur envoyer des messages indésirables.
Après avoir informé la direction de ces activités suspectes, l’équipe informatique a constaté d’un seul coup d’œil que son compte de messagerie avait été piraté et que les escrocs l’utilisaient pour envoyer des messages de phishing à d’autres cibles.
Cet événement a instillé la paranoïa en lui, chaque e-mail d’un destinataire inconnu aurait pu être faux.
Ce scénario vous semble-t-il familier ?
Si oui, vous vous demandez sans doute de quelle manière éviter que cela ne se reproduise. Pour que cela n’arrive pas à l’un de vos employés, il faut effectuer des simulations de phishing.
La simulation de phishing est un moyen efficace de tester les compétences de vos employés et de mesurer leurs progrès. Un test fournit des données sur les employés qui ont été appâtés par l’e-mail de phishing en cliquant sur les liens correspondants. En ayant la possibilité de faire l’expérience d’une attaque de phishing, vos collaborateurs pourront apprendre à identifier les e-mails suspects et, par conséquent, à appliquer les meilleures pratiques de sensibilisation à la sécurité.
Comment réaliser une simulation efficace ?
1. Obtenez l’adhésion de la direction
La première étape de toute bonne simulation de phishing est d’obtenir l’approbation de la direction. Prévenez le moins d’employés possible et donnez-leur des instructions sur la manière de traiter les appels des utilisateurs qui signalent le message de phishing. N’oubliez pas que la réaction d’un employé lorsqu’il détecte un message de phishing, simulé ou réel, doit toujours être la même. Pendant les simulations, vous pouvez ne pas avertir les employés qu’il s’agit d’un test et leur indiquer simplement que le service informatique s’en occupe.
2. Planifiez votre simulation
La seconde phase est la planification. Créez un plan pour ne pas envoyer des tests trop fréquemment, car vos employés finiront par s’y attendre. Ne les envoyez pas trop rarement, car vous devez recueillir des statistiques. Établissez des rapports et garder les utilisateurs en alerte à tout moment.
Il n’est pas nécessaire d’envoyer des e-mails de phishing à toute l’entreprise en même temps, car cela pourrait éveiller les soupçons. Envoyez-les plutôt à des services spécifiques comme le service de facturation. Imprégnez votre e-mail d’un ton urgent pour que vos employés agissent en toute hâte. Il s’agit d’une technique qui est souvent utilisée par les escrocs pour les inciter à cliquer sur des liens ou à télécharger des pièces jointes.
Commencez à penser comme un pirate informatique. Qu’est-ce qui va inciter vos employés à cliquer sur un lien malveillant ? Les lignes d’objet qui incluent les termes du genre « facture impayée », « offre exclusive » ou « gratuit » attirent souvent l’attention des employés, ce qui augmente les chances d’être la proie de l’attaque.
3. Équilibrez la formation et les rapports
Lors de votre campagne de simulation de phishing, suivez les taux d’ouverture des e-mails, de téléchargement des pièces jointes, de clics et de divulgation des informations. Établissez des rapports sur le nombre d’employés qui s’est laissé prendre au piège, ainsi que sur le nombre d’employés qui ont signalé l’incident à la direction. Une tendance à la baisse des taux de clics et à l’augmentation des taux de signalement indique que votre campagne de simulation et votre programme de formation à la cybersécurité sont efficaces.
Selon plusieurs entreprises de formation antiphishing, la formation de sensibilisation à la sécurité et les simulations d’e-mails de phishing peuvent réduire jusqu’à 95 % la susceptibilité aux cyberattaques par e-mails. D’autre part, un filtre antispam tel que SpamTitan peut garantir que les employés ne sont pas exposés à une telle menace.
À propos de SpamTitan
SpamTitan est une solution de filtrage des spams destiné aux entreprises, aux fournisseurs de services gérés (MSP) et aux établissements scolaires pour les aider à bloquer les spams, les virus, les malwares, les ransomwares, les tentatives de phishing et autres menaces lancées via la messagerie électronique. La solution peut être déployée sur site ou hébergée dans le cloud. Les principales fonctionnalités comprennent un bloqueur de spam, une liste blanche et une liste noire, une protection antivirus, une protection des e-mails, etc.
La solution permet également d’archiver les e-mails, tandis que sa fonction d’administration générale permet au personnel informatique des écoles et des campus de gérer les clients de messagerie et de protéger les comptes de messagerie contre les attaques cybercriminelles. En outre, SpamTitan permet à vos employés de connecter des dispositifs personnels et offre un moteur de rapports personnalisés qui leur permet de générer des rapports sur les types de menaces et la sécurité.
SpamTitan peut bloquer plus de 99,9 % des spams, ce qui garantit la mise en quarantaine des e-mails de ransomwares et d’autres e-mails malveillants pour qu’ils ne puissent causer aucun dommage. Formez vos utilisateurs à être sceptiques à l’égard de tout e-mail contenant des liens ou des demandes de renseignements qui pourraient être utiles à d’autres personnes. Un bon niveau de scepticisme peut mettre votre entreprise à l’abri d’une attaque dévastatrice.
Pour en savoir plus sur SpamTitan ; sur la façon dont vous pouvez sécuriser votre organisation ; et comment mettre en place un système de défense impressionnante contre les menaces par messagerie électronique et via internet, contactez l’équipe de TitanHQ dès aujourd’hui.