Se prémunir des attaques de phishing grâce aux outils de simulation

Le phishing est aujourd’hui un véritable fléau : on estime que 90 % des attaques informatiques commencent avec un email d’hameçonnage. Les entreprises sont particulièrement vulnérables, car souvent ciblées par les pirates informatiques en quête de données sensibles. Nous vous aidons à lutter contre cette menace, grâce à des outils de détection et de simulation performants. 

Qu’est-ce qu’une attaque de phishing ?

Le phishing, ou hameçonnage, est une attaque d’ingénierie sociale : elle ne repose pas sur des techniques informatiques compliquées, mais joue sur l’élément humain en essayant de manipuler les utilisateurs. L’objectif est de leur soutirer des données sensibles : identifiant, mot de passe, numéro de carte bancaire ou de sécurité sociale. Pour convaincre les employés et réussir leur piratage, les hameçonneurs envoie des emails dans lesquels ils se font passer pour une entité reconnue : entreprise ou service de l’État. Les emails sont souvent inquiétants, signalant un compte corrompu ou un mot de passe vulnérable et comportent un lien sur lequel le destinataire doit cliquer.

Ils peuvent également annoncer une bonne nouvelle : une rectification des impôts ou de la banque par exemple. Il est alors redirigé vers un site qui lui demande des informations personnelles. Si l’attaque réussit, les hackers peuvent accéder au compte bancaire d’une personne, à son compte sur les réseaux sociaux ou sur un site marchand, ou à sa messagerie.

Quels sont les différents types d’attaques de phishing ?

• Le phishing « générique ». Ce type d’attaque par email vise un groupe de personnes : utilisateurs de PayPal, d’Amazon ou de Gmail, clients d’une banque, etc. Le cybercriminel crée un nom de domaine qui ressemble de très près à celui de l’organisation, en substituant par exemple un « rn » au « m » d’Amazon, puis envoie des mails à ses cibles en se faisant passer pour une entreprise ou une institution. 
• Le spear phishing. Le spear phishing, ou hameçonnage ciblé, vise un groupe d’utilisateurs ou un profil de personnes précis. Il est très dangereux, car plus convaincant que le phishing classique : les emails reçus comportent le nom et le prénom de la personne visée, le nom de la société pour laquelle elle travaille, et son rôle dans l’entreprise. 
• Le whaling. Avec le whaling, le pirate s’attaque à des « gros poissons », c’est-à-dire à des personnes occupant des postes à responsabilité. Ce type d’hameçonnage est particulièrement subtil et sophistiqué, car les enjeux sont plus importants. Un email de whaling peut par exemple annoncer à un PDG que son entreprise est poursuivie en justice et qu’il doit cliquer sur un lien, qui le conduit à une page web où il doit indiquer le numéro de compte bancaire de l’entreprise. 
• Le smishing. Le smishing est un hameçonnage par SMS : les victimes reçoivent un message contenant un lien cliquable ou un numéro de téléphone à appeler. Souvent, les SMS semblent provenir d’une banque ou d’un service de l’État. 
• Le vishing. Le vishing est une attaque de phishing par appel téléphonique, au cours duquel un individu malveillant tente de soutirer des informations personnelles à sa cible en prétendant être un représentant d’une grande société. 

Comment identifier une attaque de phishing ?

Pour identifier une attaque de phishing, il faut examiner de près les mails, en commençant par l’adresse mail de l’expéditeur. Si le nom de domaine n’est pas identique à celui de l’entreprise dont il est censé émaner, il s’agit sans doute de phishing. Le texte du mail comporte souvent des fautes d’orthographe ou est très court. Il peut contenir des liens raccourcis, une image ou un faux logo contenant du code malveillant, ou encore une pièce jointe. 

Pourquoi simuler des attaques de phishing en entreprise ?

Comme le phishing profite de failles humaines et non d’une vulnérabilité technologique, une des meilleures façons de protéger votre entreprise est de réaliser des simulations d’attaques. Cette technique a un double avantage : elle vous permet de savoir comment vos employés se comportent, de mesurer les vulnérabilités des utilisateurs, et de sensibiliser l’ensemble de l’entreprise aux menaces. La simulation peut se faire après une formation au phishing ou à tout moment, elle comporte l’envoi de plusieurs emails. Dans tous les cas, les collaborateurs ne sont pas prévenus.

Nous pouvons vous accompagner dans la réalisation d’une ou de plusieurs campagnes de phishing, en créant des emails sur mesure, susceptibles de piéger vos collaborateurs. Si vous avez des doutes sur la capacité de vos collaborateurs à résister à des emails douteux, nous vous recommandons vivement d’organiser une simulation, accompagnée d’une formation à l’hameçonnage : cela vous permettra de créer une culture de la cybersécurité dans votre entreprise et de faire de la sensibilisation sur le sujet.

Nos solutions pour vous protéger de ce type d’attaque : 

Expert en sécurité informatique, IPE vous aide à déjouer les attaques de phishing en vous fournissant un accompagnement quotidien. Proches de nos clients, nous les conseillons dans le choix de solutions de sécurité adaptées à leurs problématiques. Outre les outils de simulation, nous vous proposons plusieurs techniques de lutte contre l’hameçonnage. Notre anti-spam protège votre boite mail en analysant le contenu des messages et en filtrant les emails douteux. Notre outil « Mail Security » est capable de repérer des liens malveillants situés dans l’objet et le corps du message ; il met automatiquement en quarantaine les emails de phishing.

Notre module protection web sécurise vos postes de travail, analysant en permanence les connexions établies pour bloquer l’accès aux sites web malveillants. Enfin, nous réalisons une analyse Dark Web , qui vous permettra de savoir si vos données professionnelles sont présentes sur le Dark Web, suite à une campagne de phishing ou à un autre type d’attaque sur votre système informatique.

Contactez-moi je vous indiquerais ou se procurer les meilleurs hameçons... ;-)