Hameçonnage : comment les cybercriminels espionnent les PME 

Êtes-vous conscient que le nombre de cyberattaques contre les PME suisses augmente rapidement ? L'Office fédéral de la cybersécurité a déjà enregistré une hausse spectaculaire fin 2023, avec plus de 30 000 attaques en six mois. En 2024, la situation ne s'est pas améliorée. Les attaques de phishing, en particulier, sont en forte augmentation.

Les attaques de phishing ne sont plus seulement un problème pour les grandes entreprises. Les PME suisses sont de plus en plus souvent la cible des cybercriminels. Selon l'étude Cyber ​​2024, 4% des PME interrogées ont été victimes d'une cyberattaque grave au cours des trois dernières années, ce qui, extrapolé à la Suisse, correspond à environ 24 000 entreprises. Ce qui est alarmant, c’est que 40 % des entreprises n’ont pas de plan d’urgence ni de stratégie de continuité des activités en place en cas d’une telle attaque. La numérisation croissante et les ressources souvent limitées en matière de sécurité informatique font des PME des cibles attrayantes pour les attaques de phishing.

Les 5 principales méthodes de phishing expliquées avec des exemples concrets

Les cybercriminels sont des maîtres de la tromperie et développent constamment de nouvelles tactiques pour obtenir des données sensibles. Voici les méthodes d'hameçonnage les plus courantes, illustrées par des exemples concrets :

  1. Hameçonnage par e-mail
    E-mails frauduleux qui semblent provenir d'institutions de confiance afin d'obtenir des informations sensibles. Exemple : Vous recevez un e-mail qui semble provenir de la Poste Suisse. Il vous demande de payer des frais de douane impayés pour un colis. Cependant, le lien ci-joint mène à un faux site Web conçu pour voler vos informations de carte de crédit.
     
  2. Hameçonnage ciblé
    Attaques ciblées contre des individus spécifiques au sein d'une organisation, utilisant souvent des informations personnelles. Exemple : Le directeur financier de votre entreprise reçoit un e-mail du prétendu PDG lui demandant de toute urgence d'effectuer un transfert vers un nouveau fournisseur. L'adresse e-mail diffère très peu de la vraie, ce qui rend la tromperie parfaite.
     
  3. Fraude au PDG (compromission de la messagerie professionnelle) :
    Attaques dans lesquelles les attaquants falsifient l'identité de dirigeants (par exemple, le PDG) et incitent les employés à effectuer des virements d'argent ou à partager des données confidentielles. Exemple : un comptable reçoit une instruction soi-disant urgente du directeur général pour transférer une somme à six chiffres sur un compte spécifique – une tactique classique de fraude au PDG.
     
  4. Smishing (phishing par SMS)
    Attaques de phishing qui utilisent des SMS pour voler des données personnelles. Exemple : Vous recevez un SMS de « votre banque » vous informant d’une activité suspecte sur votre compte et vous demandant de cliquer sur un lien pour vérifier votre compte. Le lien mène à un faux site Web qui collecte vos informations de connexion.
     
  5. Vishing (Phishing vocal)
    Attaques de phishing effectuées via des appels téléphoniques pour obtenir des informations confidentielles. Exemple : un appelant prétend être un technicien de votre fournisseur de services informatiques et vous demande vos informations de connexion pour résoudre un problème urgent. Il utilise un jargon technique pour paraître crédible.
     
  6. Clonage du phishing
    Les attaquants clonent des e-mails légitimes et remplacent les pièces jointes ou les liens par des versions malveillantes. Exemple : un e-mail légitime provenant d’un partenaire commercial connu est intercepté, copié et vous est renvoyé avec une pièce jointe malveillante. Étant donné que l'e-mail est historiquement exact, la fraude est à peine perceptible.
     
  7. Pharming
    Au lieu d'utiliser un e-mail, cette attaque se produit directement via des entrées DNS manipulées qui redirigent les utilisateurs vers de faux sites Web, même s'ils saisissent la bonne adresse Web. Exemple : un employé tente de se connecter au site Web de la banque de l'entreprise, mais en raison d'une attaque de pharming, il se retrouve sur une copie faussement réelle et divulgue ses identifiants de connexion.

Les techniques de phishing : Un bref aperçu 

Les attaques de phishing utilisent diverses méthodes techniques pour obtenir des données sensibles. Une compréhension rapide de ces techniques permet de mettre en œuvre des mesures de protection efficaces.

  • Usurpation d'adresse e-mail : Falsification d'adresses d'expéditeur par manipulation SMTP.
    Protection : Implémentation de SPF, DKIM et DMARC.
  • Usurpation DNS/pharming : Redirection des utilisateurs vers de faux sites web via des enregistrements DNS manipulés.
    Protection : Utilisation de DNSSEC.
  • Attaques par homographe : Utilisation de caractères similaires dans les URL pour tromper.
    Protection : Vérification minutieuse des URL et des certificats SSL.
  • Attaques de l'homme du milieu : Interception et manipulation du trafic à l'aide du décapage SSL ou de l'usurpation ARP.
    Protection : Utilisation de TLS et de politiques strictes de sécurité du transport (HSTS).
  • Phishing malveillant : Envoi de pièces jointes ou de liens malveillants à exploits.
    Protection : Logiciel de sécurité à jour et mises à jour régulières.

Les 10 signes révélateurs d'un e-mail de phishing 

Les e-mails de phishing sont l’une des méthodes les plus courantes utilisées par les cybercriminels pour obtenir vos informations personnelles. Ils se font passer pour des expéditeurs de confiance et tentent de vous inciter à divulguer des informations sensibles ou à télécharger des fichiers malveillants. Pour vous protéger de ces attaques, il est important de connaître les caractéristiques typiques d'un e-mail de phishing.

  • Adresse d'expéditeur inhabituelle :L'adresse e-mail de l'expéditeur ne correspond pas au nom de l'entreprise ou de la personne dont l'e-mail prétend provenir.
  • Message d'accueil général :L'e-mail commence par un message d'accueil général tel que « Cher client ». au lieu de votre nom.
  • Urgence ou menaces : L’e-mail crée un sentiment d’urgence ou menace de conséquences négatives si vous n’agissez pas immédiatement.
  • Pièces jointes inhabituelles : L’e-mail contient des pièces jointes inattendues ou qui semblent suspectes (par exemple, des fichiers exécutables).
  • Liens suspects : Les liens dans l’e-mail mènent à des sites Web qui ne correspondent pas à l’entreprise dont l’e-mail prétend provenir.
  • Fautes d’orthographe et de grammaire : L’e-mail contient de nombreuses fautes d’orthographe et de grammaire.
  • Demandes inhabituelles : L’e-mail vous demande de fournir des informations personnelles telles que des mots de passe ou des informations de carte de crédit.
  • E-mail inattendu : Vous n’avez aucune interaction avec l’expéditeur de l’e-mail, l’e-mail arrive donc de manière inattendue.
  • Le ton et le style sont inhabituels : Le ton et le style de les e-mails sont inhabituels ou ne correspondent pas à l'entreprise ou à la personne dont ils prétendent provenir.
  • L'e-mail est trop court :les e-mails de phishing sont souvent courts pour éviter les erreurs.

Mesures de protection au niveau technique et organisationnel 

Les entreprises ont la responsabilité de se protéger de manière proactive contre les attaques de phishing. Une approche globale incluant des mesures techniques et organisationnelles est ici cruciale.

Mesures techniques

  • Solutions anti-hameçonnage modernes
    Déployez des passerelles de messagerie et des filtres Web avec des technologies d'IA pour bloquer de manière proactive les e-mails et les sites Web suspects. Les environnements Sandbox permettent de tester les pièces jointes en toute sécurité.
  • Authentification multifacteur (MFA)
    Complétez les connexions avec des facteurs de sécurité supplémentaires tels que des jetons ou des données biométriques pour empêcher tout accès non autorisé.
  • Mises à jour et correctifs réguliers
    Mettez en œuvre une gestion automatisée des correctifs pour maintenir les logiciels et les systèmes à jour et combler les failles de sécurité.
  • Protocoles d'authentification des e-mails
    Utilisez SPF, DKIM et DMARC pour vérifier l'authenticité des e-mails entrants et empêcher l'usurpation d'identité.
  • Segmentation du réseau et principe de confiance zéro
    Divisez votre réseau en segments et contrôlez strictement l'accès pour rendre la propagation des logiciels malveillants plus difficile.
     

Mesures organisationnelles

  • Élaborer des politiques de sécurité
    Définir des directives claires pour la gestion des e-mails, des pièces jointes et des données sensibles. Mettez-les à jour régulièrement.
  • Gestion des accès
    Accordez aux employés uniquement les droits nécessaires (privilège minimal) et mettez en œuvre un contrôle d'accès basé sur les rôles (RBAC).
  • Plans d'intervention d'urgence et d'incident
    Créez des plans d'action détaillés avec des responsabilités définies et organisez des exercices réguliers.

Bonnes pratiques pour la formation des employés

  • Sensibilisation régulière
    Formez vos employés au moins une fois par trimestre sur les menaces actuelles et les méthodes de phishing, adaptées à leurs fonctions.
  • Formations et simulations interactives
    Utilisez des ateliers et des simulations de phishing pour renforcer les connaissances de manière pratique et accroître la sensibilisation.
  • Tests de phishing avec retour d'information
    Effectuez des tests internes pour évaluer la vigilance et proposez un retour d'information ciblé et des formations complémentaires.

En combinant ces mesures techniques et organisationnelles, vous pouvez renforcer durablement les défenses de votre entreprise contre les attaques de phishing.

Plan d'urgence en cas d'attaque de phishing réussie 

Même avec les mesures de sécurité les plus complètes, une attaque de phishing peut réussir. Dans de tels cas, il est crucial de disposer d'un plan d'urgence clairement défini afin de pouvoir réagir rapidement et efficacement.

Mesures immédiates

  1. Isoler les systèmes :Déconnecter les appareils concernés du réseau.
  2. Modifier les mots de passe :Mettre à jour toutes les données d'accès.
  3. Informer les autorités :Signaler l'incident au NCSC.
  4. Communication interne : Informer tous les employés de l'incident.
  5. Enquête médico-légale : Analyser l'attaque pour identifier les vulnérabilités.
  6. Adapter les mesures :Mettre à jour vos stratégies de sécurité en fonction des résultats.

MTF : votre partenaire pour Cybersécurité & Prévention du phishing 

Les attaques de phishing constituent une menace sérieuse pour les PME suisses. En prenant les bonnes mesures, vous pouvez toutefois minimiser considérablement les risques. Investissez dans la technique, formez vos collaborateurs et élaborez un plan d'urgence efficace. Vous serez ainsi parfaitement équipé pour protéger votre entreprise contre les cybermenaces.

Êtes-vous prêt à protéger votre entreprise de manière optimale contre les attaques de phishing ? MTF est à vos côtés en tant que prestataire de services informatiques expérimenté. Contactez-nous pour en savoir plus sur nos solutions de sécurité sur mesure pour les PME suisses !

FAQ 

  1. Qu'est-ce que le phishing ?
    Le phishing est une forme de cybercriminalité dans laquelle les fraudeurs tentent d'obtenir des informations personnelles telles que des mots de passe ou des informations de carte de crédit. Cela se produit souvent via des e-mails ou des sites Web d'apparence trompeuse.
     
  2. Pourquoi les entreprises sont-elles souvent la cible d'attaques de phishing ?
    Les entreprises sont des cibles attrayantes car elles disposent souvent de données précieuses telles que des bases de données clients, des informations financières et un accès à des systèmes sensibles. De plus, des employés peuvent être amenés à divulguer accidentellement des données d'accès par le biais d'attaques ciblées (par exemple, le spear phishing).
     
  3. Comment reconnaître un e-mail de phishing ?
    Les caractéristiques typiques d'un e-mail de phishing sont :
    - Des fautes d'orthographe et une formulation non professionnelle
    - Des adresses d'expéditeur suspectes
    - Des appels à l'action urgents (« Votre compte sera bloqué ! »)
    - Des liens qui mènent à des sites Web externes ou faux
     
  4. Quel rôle joue la sensibilisation des employés ?
    Les employés sont la première ligne de défense contre le phishing. La formation les aide à reconnaître les tentatives d’hameçonnage et à y répondre correctement. Cela réduit considérablement le risque de réussite d’une attaque.

Avez-vous des Questions ?

Peter Hegglin
Special Operations