Comment sensibiliser ses employés aux risques de phishing ?

Une imprudence de la part des employés, en ouvrant un courriel contenant un virus, peut coûter cher à la société. Citons entre autres le vol d’information, la diffamation de l’image de marque au profit de la concurrence ou encore le détournement des fonds de l’entreprise. La menace est de plus en plus grande compte tenue du fait que les techniques de phishing évoluent avec l’avènement de l’ère numérique. À cet égard, il est important d’encourager la prise de conscience de vos collaborateurs à travers une campagne de sensibilisation. Tour d’horizon sur les techniques à adopter pour réussir votre campagne ainsi que les solutions de défense les plus efficaces pour sécuriser votre système informatique.

Bien comprendre le concept du phishing

Phishing, filoutage et hameçonnage : voilà trois mots qui désignent tous un acte de cyber-malveillance. Le phishing est une technique de piratage apparue il y a près d’une vingtaine d’année, mais qui représente aujourd’hui encore 90% des attaques ciblées. D’après les études menées par Verizon, l’hameçonnage est même en forte recrudescence en France depuis ces dernières années. Ceci s’explique par l’expansion des réseaux sociaux et l’abondance des informations qui y sont diffusées. De plus, en 2015, les cybers-escrocs ont réussis à développer des techniques d’ingénierie sociale pour inciter les employés au sein des entreprises à cliquer. Pour être plus précis, le phishing joue sur les failles du facteur humain plutôt que sur des faiblesses technologiques.

Les entreprises, cibles potentielles du phishing

Les hameçonneurs ont toujours eu pour objectif d’engranger un gain financier considérable à leur victime et leurs potentiels cibles sont les entreprises. D’une autre part, le filoutage peut aussi être mis au point par la concurrence afin de ternir la réputation d’une autre entité. Le principe est simple : « pêcher » les informations d’identifiants afin de les exploiter.

L’hameçon utilisé est un leurre crédible et adapté à la cible tel qu’un message d’apparence respectable, aux couleurs de l’organisation. Cela peut aussi être un courriel de documents financiers ou encore relatif à la livraison de colis. Selon l’institut Ponemon, une entreprise de taille moyenne, victime d’un phishing, peut perdre environ 4 millions de dollars par an. Voilà la raison pour laquelle il est important d’investir dans un système pédagogique qui vise à « forcer » la prise de conscience des salariés.

Les campagnes de sensibilisation : une stratégie efficace pour se prémunir du phishing

Que vous soyez dirigeant ou responsable de la gestion des risques, une stratégie de sensibilisation à la cybersécurité est de mise pour protéger votre enseigne du phishing. À cet égard, des missions de simulation sont à mettre en place. Seulement sachez que ces techniques sont susceptibles de générer certaines réticences vis-à-vis de vos collaborateurs. Ainsi, il est important de savoir élaborer une approche en amont et en aval. Cela afin que la sécurité informatique ne soit plus considérée comme un obstacle à leur activité.

Les actions de sensibilisations aux risques de phishing à mener en amont

Élaborer un plan avant de mettre en œuvre un projet de limitation des risques de phishing est la première chose à entreprendre. Cela étant donné le fait que la sensibilisation des identifiants devra se faire à travers différents vecteurs mais pas un seul. D’autant plus que la capacité de compréhension et de prise de conscience de vos salariés diffèrera d’une personne à une autre.

Une fois le plan établit, vous devrez prévenir vos collaborateurs de la réalisation du projet de campagne de phishing. Ne croyez pas que le fait de faire part de cette simulation à vos employés risquera de fausser les résultats. Bien au contraire, cela va leur permettre d’être plus vigilants et attentifs.

Les cas échéants, il ne vous reste plus qu’à trouver des scénarios de mise en situation. Il est impératif qu’ils soient adaptés à vos partenaires. Pour ce faire, ne visez pas trop haut et évitez les scénarios trop affolants. Vous pouvez :

Simuler les dangers à travers un jeu vidéo : le but ici est de faire plonger chaque employé dans un univers virtuel où il rencontrera les risques du phishing. Créer des emails simples puis monter en complexité. Piéger les salariés en laissant délibérément une clé USB dans les salles de repos ou les parkings. Dans ce dernier se trouvera un fichier word avec un nom évocateur mais qui contiendra un lien de redirection vers la page invisible du site web de l’entreprise.

La mise en place de solutions de défense contre le phishing : l’action en aval

Une fois que la simulation prend fin, communiquez les résultats et évitez de sanctionner les collaborateurs qui ont été phishés. Le mieux est de faire témoigner des experts au travers d’ateliers pour que les salariés puissent développer un peu plus un état d’esprit vigilant. Il faudra aussi penser à installer un ou plusieurs systèmes de défense innovants dans le cloud de votre SI. Ces derniers devront s’appliquer à l’intégralité de vos applications qui traitent les Big Data. Des applications de messagerie sécurisée peuvent également être d’une grande utilité.

Quels sont les impacts d’une fuite de données informatiques ?

Vous rappelez-vous du piratage de données dont a été victime Yahoo! en 2016 ? Plus de 3 milliards de comptes avait été piratés suite au plus gros « hack » de données recensé à ce jour. Même si les plus grosses entreprises ne sont pas à l’abri d’une fuite de données informatiques, ce sont cependant les petites entreprises qui en sont les principales victimes. Selon le rapport de Verizon intitulé « 2018 Data Breach Investigations Report », 58% des victimes de piratages de données sont de petites entreprises. Quels sont les impacts d’une fuite de données pour une entreprise ? Comment se prémunir contre les risques d’une fuite de données ? Nous vous apportons quelques pistes de réponses dans notre article ci-dessous.

Les fuites de données en augmentation dans les entreprises

On s’aperçoit que la quantité de données collectées a largement augmenté ces dernières années. En effet, les sources de données se multiplient entre sites web, réseaux sociaux, boutiques en ligne, téléphones mobiles intelligents, technologies cloud etc… De ce fait le risque de piratage augmente, ces données et informations étant grandement convoitées par les hackers. D’après une étude publiée par l’Université du Maryland, une cyberattaque a lieu toutes les 39 secondes ! Or les conséquences d’une fuite de données dans l’entreprise sont considérables et la protection des données devient un enjeu majeur pour les sociétés, quelque soit leur taille. Un article publié par ZDnet intitulé « The role cybersecurity should play in 2019 IT budget planning » nous apprend qu’en 2018, 80 % des organisations prévoyaient d’augmenter leur budget consacré à la sécurité pour combattre la fuite de leurs données.

Le coût d’une fuite de données

Car le coût d’une cyberattaque est loin d’être négligeable. Face aux millions de dollars que coûte à certaines entreprises l’augmentation des fuites de données, celles-ci s’organisent pour garantir un niveau de sécurité supplémentaire et se protéger au mieux contre les cyberattaques. Il faut en moyenne 197 jours pour une entreprise avant de découvrir qu’elle a été victime de fuite de données (source : « 2018 Cost of a Data Breach Study » publié par l’Institut Ponemon). Les dommages pour une entreprise sont considérables et le coût en terme de perte d’activité frappe violemment l’entreprise. Celle-ci doit se défendre rapidement, ce qui n’est pas chose aisée. La meilleure solution reste bien entendu la prévention.

Que faire en cas de fuite de données ?

Si vous êtes victimes d’une cyberattaque, vous devez le signaler aux autorités. La loi RGPD (Règlement pour la protection des données) stipule que les entreprises européennes sont tenues de déclarer toute fuite de données personnelles dans les soixante-douze heures suivant l’incident, que celui-ci soit accidentel ou provienne d’une cyberattaque.

Si la fuite de données n’est pas inévitable, elle peut permettre de faire un bilan sur les failles de sécurité qui ont mené au vol de vos données. Ce bilan conduira à la mise en place d’actions pour vous protéger de type incident dans le futur. Mais vous pouvez dès d’ores et déjà vous protéger et partir sur des bonnes bases avant d’être victime d’une fuite de vos données.

Les solutions pour prévenir les fuites en informatique

Proportionnellement à l’augmentation des fuites de données, le nombre total d’attaques Web bloquées par jour a augmenté de 56,1 % entre 2017 et 2018 (source Statista). L’utilisation d’outils de sécurité avancée permet d’affronter des menaces des hackers et prévenir les fuites de données financièrement coûteuses.

Nous aidons nos clients à affronter les difficultés et problèmes de cybersécurité dans les industries règlementées telles que :

  • les banques,
  • les compagnies aériennes
  • les compagnies de transport
  • les assurances
  • les institutions publiques (éducation, santé, gouvernement, militaire…).

Grâce à notre solution de messagerie sécurisée et de cloud privé, nous aidons les entreprises à stopper les fuites de données chaque jour, et se protéger ainsi contre les cyberattaques.

La sécurité du cloud et des messageries d’entreprises : un enjeu majeur

Si l’utilisation du cloud s’est largement répandue ces dernières années, il n’en reste pas moins une source potentielle de fuite de données. Les entreprises stockant des données sensibles n’ont pas le droit légalement d’utiliser des messageries publiques (gmail, outlook, whatsapp…).

Il s’agit des entreprises issues des secteurs listés plus haut. Notre solution de protection informatique est soumise à la législation européenne ce qui amène un niveau de sécurité supplémentaire, contrairement à la législation américaine qui a mis en place le «patriot act» et le «cloud act».

Nous vous proposons d’essayer gratuitement notre messagerie sécurisée en créant votre compte démo en ligne. Vous pourrez ainsi découvrir son fonctionnement et sa facilité d’utilisation, sans aucun engagement de votre part. Si vous souhaitez obtenir plus de renseignements sur nos services, nous vous invitons à contacter notre équipe d’experts disponibles pour répondre à toutes vos questions.