Bien que le phishing existe depuis plusieurs décennies, il n'en demeure pas moins l'une des cybermenaces actuelles les plus redoutables et qui connaissent la croissance la plus rapide. Alors qu'il représentait déjà une menace grandissante avant la pandémie de COVID-19, la situation s'est aggravée depuis. D'après le rapport 2021 sur la cybercriminalité de l'Internet Crime Complaint Center (IC3) du FBI, le nombre de plaintes déposées au sujet d'attaques de phishing et de techniques connexes a bondi de 182 % entre 2019 et 2021. Et ces chiffres ne concernent que les attaques de phishing signalées. Les chiffres réels sont probablement nettement supérieurs.
À tous égards, les efforts des cybercriminels pour exploiter les vulnérabilités humaines portent leurs fruits. Pourtant, les recherches menées par Proofpoint pour les besoins du rapport State of the Phish 2022 révèlent que seulement 53 % des adultes actifs savent ce qu'est le phishing.
Le message est clair : les entreprises doivent placer le phishing au cœur de leur programme de sensibilisation à la sécurité informatique. Si vous pensez que seulement la moitié de vos utilisateurs sait ce qu'est le phishing, envisagez d'axer vos formations sur ce thème incontournable en fournissant une définition du terme.
À propos de cette série d'articles de blog
Les cybermenaces actuelles cherchent à exploiter la nature humaine, plutôt que les seules vulnérabilités techniques. D'après le rapport d'enquête 2022 sur les compromissions de données de Verizon (« 2022 Data Breach Investigations Report »), 82 % des compromissions impliquent une intervention humaine. Comme le souligne le rapport, cette réalité place les personnes au cœur des stratégies de sécurité. Les cybercriminels ont recours à l'ingénierie sociale pour inciter les utilisateurs à cliquer sur des URL dangereuses, à ouvrir des pièces jointes malveillantes, à divulguer leurs identifiants de connexion, à envoyer des données sensibles, à transférer des fonds et bien plus encore.
Cet article est le deuxième de notre série d'articles de blog en six parties, qui met en avant les thèmes à aborder dans vos formations de sensibilisation à la sécurité informatique à l'approche du mois de sensibilisation à la cybersécurité qui aura lieu en octobre. Voici les thèmes abordés :
- Ingénierie sociale
- Phishing
- Piratage de la messagerie en entreprise (BEC, Business Email Compromise)
- Réseaux sociaux
- Ransomwares
- Risques internes
Qu'est-ce que le phishing ?
Le phishing est un exemple de technique d'ingénierie sociale, un ensemble de méthodes (telles que la falsification, la tromperie et le mensonge) utilisées par les cybercriminels pour manipuler la psychologie humaine.
Les emails de phishing ont recours à l'ingénierie sociale pour encourager les utilisateurs à agir rapidement, sans prendre le temps de réfléchir. Et lorsque les cybercriminels parviennent à piéger les utilisateurs avec des messages de phishing, ils sont récompensés par un accès aux données sensibles, aux systèmes stratégiques, aux comptes cloud et aux réseaux de l'entreprise, et, bien souvent, par de l'argent.
La plupart des messages de phishing sont véhiculés par email. Toutefois, certains cybercriminels recourent à d'autres méthodes, comme le SMiShing et le vishing (l'utilisation de messages texte et de logiciels de modification de la voix pour envoyer des SMS à des utilisateurs ou les cibler via des robocalls).
Les trois principales menaces associées aux messages de phishing
Une fois que vos utilisateurs comprennent mieux en quoi consiste le phishing, mettez en avant certaines des stratégies les plus courantes employées par les cybercriminels pour compromettre les destinataires des messages de phishing :
Liens malveillants
Les cybercriminels utilisent souvent des URL malveillantes dans leurs messages de phishing. Lorsque les utilisateurs cliquent sur un lien malveillant, ils sont redirigés vers un site Web contrefait ou infecté par des malwares (logiciels malveillants). Généralement, les cybercriminels maquillent soigneusement ces liens dans les messages de phishing afin de donner l'impression qu'ils proviennent de sources de confiance. Pour ce faire, ils peuvent utiliser des logos d'entreprises ou enregistrer des domaines de messagerie similaires à ceux d'une marque ou d'une entreprise de confiance afin de semer la confusion.
Trop souvent, les cybercriminels parviennent à leurs fins. Les recherches que nous avons menées pour les besoins du rapport State of the Phish 2022 révèlent qu'un utilisateur sur dix clique sur un lien malveillant dans les simulations d'attaques de phishing.
Pièces jointes infectées
Les pièces jointes infectées par des malwares peuvent compromettre des ordinateurs et des fichiers. Elles prennent souvent l'apparence de pièces jointes légitimes. Dans les simulations d'attaques de phishing que nous réalisons pour nos clients, nous avons constaté qu'un utilisateur sur cinq ouvre une pièce jointe à un email sans réfléchir.
Il est important d'expliquer aux utilisateurs les conséquences désastreuses que peut avoir le phishing. Les infections de malwares et les ransomwares distribués par le biais d'une attaque de phishing peuvent facilement se propager aux terminaux connectés au réseau, et même aux systèmes cloud.
Demandes frauduleuses
Ces demandes ont pour but de convaincre le destinataire de l'email de divulguer des informations sensibles, comme des identifiants de connexion ou des données de carte de crédit. Elles se présentent souvent sous la forme d'un formulaire (provenant par exemple d'une administration fiscale promettant un remboursement) pour inciter l'utilisateur à fournir des informations sensibles.
Une fois que l'utilisateur a rempli et envoyé le formulaire, les cybercriminels peuvent se servir de ces données pour leur profit personnel.
Toutes les attaques de phishing ont recours à l'ingénierie sociale
Comme mentionné précédemment, les attaques de phishing sont un type d'ingénierie sociale. Dans vos formations de sensibilisation à la sécurité informatique, pensez à attirer l'attention sur certaines techniques employées par les cybercriminels pour tirer parti de la psychologie humaine afin de manipuler les utilisateurs, par exemple :
- Usurper l'identité d'une personne ou d'une entité que l'utilisateur connaît probablement et en laquelle il est susceptible d'avoir confiance
- Jouer sur les émotions telles que la peur (ou simplement la peur de rater quelque chose) pour inciter l'utilisateur à agir rapidement
- Faire des promesses qui semblent trop belles pour être vraies (et qui le sont)
Qui plus est, les cybercriminels essaient souvent de lancer leurs attaques à un moment où l'utilisateur est susceptible de baisser la garde, par exemple lorsqu'il est fatigué ou distrait. Nombre d'entre eux étudient également le cycle de facturation d'une entreprise ou s'informent des dates auxquelles des réunions importantes sont prévues avant de lancer une attaque de phishing.
L'impact financier des attaques de phishing sur les entreprises
Dans le cadre de votre programme de sensibilisation à la sécurité informatique, envisagez de citer quelques incidents majeurs pour souligner à quel point les attaques de phishing peuvent être coûteuses pour les entreprises. Ces informations peuvent s'avérer particulièrement convaincantes pour les cadres dirigeants. Du fait de leur accès et de leur autorité, ils font partie des types d'utilisateurs les plus souvent ciblés ou dont l'identité est la plus souvent usurpée par les cybercriminels dans les campagnes de phishing.
Voici quelques exemples concrets :
- Dans le cadre d'un accord de règlement conclu à la suite d'une compromission de données de grande envergure survenue en 2021, un opérateur de téléphonie mobile implanté aux États-Unis a accepté de verser 350 millions de dollars en dédommagement des clients dont les données auraient été exposées. L'incident a affecté plus de 76 millions de clients.
- Une attaque de phishing ciblant les fournisseurs d'une importante chaîne de magasins des États-Unis a entraîné l'exposition des données de carte de crédit et des données personnelles de plus de 110 millions de clients de la chaîne. La chaîne de magasins a depuis lors versé près de 300 millions de dollars dans le cadre de règlements judiciaires portant sur la compromission.
- Un important studio de cinéma a perdu près de 100 millions de dollars à la suite d'une campagne d'attaques qui aurait été lancée par la Corée du Nord et qui a conduit à une compromission de données de grande envergure. L'attaque a eu recours à des emails de spear phishing (attaques ciblées envoyées à certains collaborateurs d'une entreprise) qui semblaient provenir de comptes de réseaux sociaux légitimes.
- Deux entreprises technologiques de premier plan implantées aux États-Unis (une plateforme de réseau social et un moteur de recherche Internet) ont perdu plus de 100 millions de dollars au cours d'une attaque de phishing sophistiquée. Les cybercriminels ont été jusqu'à créer une fausse entreprise et à utiliser des emails et des factures falsifiés.
Thèmes dont les utilisateurs doivent se méfier
Bien entendu, pour que les formations de sensibilisation à la cybersécurité trouvent écho auprès des utilisateurs, ces derniers doivent comprendre comment les attaques de phishing peuvent avoir des répercussions sur leurs propres finances. À l'approche des fêtes de fin d'année, le moment est idéal pour apprendre à vos utilisateurs à se méfier des tactiques de phishing sur les thèmes suivants :
- Achats en ligne (par exemple : « Cliquez ici pour passer commande et bénéficier d'une remise de 60 % ! Vous pouvez également remporter 1 000 € à dépenser sur notre site Web. »)
- Œuvres de bienfaisance (par exemple : « Aidez à lutter contre la faim en ces fêtes de fin d'année. Il y a urgence. Utilisez ce formulaire pour donner le montant de votre choix. »)
- Sociétés de transport (par exemple : « Nous n'avons pas pu livrer votre colis. Consultez les informations d'expédition ci-jointes pour confirmer les détails de votre commande. »)
Mettez également en garde vos utilisateurs contre les escroqueries sur le thème du streaming, dans le cadre desquelles les cybercriminels se font passer pour des fournisseurs légitimes de services de streaming populaires et proposent des offres spéciales (par exemple : « Bénéficiez d'un mois gratuit ! ») ou essaient de convaincre les utilisateurs qu'ils ont besoin d'intervenir sur leur compte (par exemple : « Mettez à jour vos informations pour réactiver votre abonnement »).
Conseils pour identifier les tentatives de phishing à l'intention de vos utilisateurs
Complétez vos formations de sensibilisation au phishing par des conseils faciles à appliquer qui peuvent éviter à vos utilisateurs de tomber dans le piège d'une attaque de phishing. Encouragez-les à :
- Ne pas accorder immédiatement leur confiance à l'expéditeur, même si le message semble provenir d'une source ou d'une marque de confiance
- Inspecter l'adresse de l'expéditeur et les éventuels liens
- Ouvrir une nouvelle fenêtre pour vérifier vers quel site Web un lien redirige
- Ne pas cliquer sur les appels à l'action figurant dans l'email, comme « Vérifiez votre compte » ou « Connectez-vous maintenant »
- Ne pas oublier que les liens de partage de fichiers ne sont pas toujours sécurisés
Enfin, encouragez vos utilisateurs à signaler tous les messages qu'ils considèrent comme suspects. Le signalement d'emails doit être une composante essentielle de votre stratégie de cyberdéfense. Des outils comme le bouton de signalement d'emails PhishAlarm de Proofpoint aident vos utilisateurs à devenir plus vigilants et proactifs.
Disponible prochainement : plus de thèmes de sensibilisation des utilisateurs à la sécurité informatique
La prochaine publication de cette série d'articles de blog se concentrera sur le piratage de la messagerie en entreprise (BEC, Business Email Compromise). Nous vous expliquerons pourquoi les entreprises de toutes tailles et de tous les secteurs doivent se méfier de cette menace grandissante. Nous vous donnerons également des conseils pour sensibiliser vos utilisateurs à ce thème incontournable des formations de sensibilisation à la sécurité informatique.
Nous vous encourageons à consulter le Centre de sensibilisation à la cybersécurité de Proofpoint, où vous trouverez d'autres ressources pour étoffer le programme de formation et de sensibilisation à la sécurité informatique de votre entreprise. La sensibilisation à la sécurité informatique de Proofpoint peut également vous aider à instaurer une culture de la sécurité qui encourage les changements de comportement positifs.