Construire une culture de la sécurité: Conseils pratiques pour repérer un Hameçonnage (phishing)

Construire une culture de la sécurité: Conseils pratiques pour repérer un Hameçonnage (phishing)

Il existe des technologies permettant de limiter et de repérer le nombre d’e-mails d’hameçonnage (phishing) qui parviennent à votre entreprise. Il n’en reste pas moins que l’être humain constitue, en fin de compte, la dernière ligne de défense contre les attaques d’ingénierie sociale de ce type. 

À un moment donné, vous allez être « battu » en tant qu’employeur ou fournisseur de services gérés (MSP). Au lieu de tout verrouiller et de ralentir les communications commerciales, le personnel, de la direction à la base, doit être équipé pour identifier les e-mails de phishing, afin que le pire se produise dans un environnement de formation et non dans la réalité.

Pour commencer, les employés doivent être informés des éléments qui composent une attaque de phishing par ingénierie sociale et de la façon dont ils peuvent savoir où leurs informations sont publiées sur Internet. 

Éléments d’un hameçon d’ingénierie sociale

Examination de votre empreinte numérique

Les meilleurs cybercriminels prendront le temps de faire leurs recherches sur leur prochaine victime. En parcourant les flux de médias sociaux associés au nom de la personne et en recherchant sur Google toute information disponible sur la victime potentielle, ils peuvent rassembler des informations sur les habitudes de l’individu.

Pour les hacks d’hameçonnage plus importants, je peux imaginer que les choses commencent à ressembler à ceci :

Il s’agit par exemple des lieux qu’ils fréquentent, comme une salle de sport ou leur restaurant préféré, et même de la collecte d’informations personnelles comme la date de naissance ou l’adresse du domicile.

Imaginez que vous publiez de façon répétitive sur les médias sociaux à propos du fait que vous aimez un café local. Il se peut même que vous soyez en train de lire un article sur ce café local. 

L’attaquant peut créer un e-mail d’hameçonnage convaincant qui semble être un code de réduction provenant du café local ou d’un fournisseur avec lequel il est en partenariat.

Avec ce type d’informations circulant sur le web, les victimes sont plus susceptibles de tomber dans les escroqueries qui exploitent ce type d’informations personnelles. 

Créer une pression sociale pour cliquer

« Le comportement humain est difficile à changer. L’être humain est toujours vulnérable à certaines choses et les événements actuels changent la façon dont les gens sont vulnérables et comment ils réagissent. »

 

Connor Swalm, PDG et Fondateur de Phin Security

 

Dans de nombreux cas, les attaquants utilisent la pression sociale pour que l’utilisateur moyen clique sans y réfléchir à deux fois. 

Parmi les exemples, citons les e-mails d’hameçonnage, notamment les demandes adressées par un cadre à un nouvel employé au cours de ses premières semaines de travail.

Dans d’autres cas, il s’agira plutôt d’un effet de levier émotionnel sur un ami ou un collègue qui a besoin d’une attention immédiate pour se sortir d’une mauvaise situation. 

Ces deux exemples s’appuient sur la pression sociale et les émotions humaines brutes pour que la victime privilégie le clic plutôt que sa formation en matière de sécurité. 

Conseils pratiques pour identifier un hameçon

Si vous voyez quelque chose, dites-le.

Signaler un e-mail de phishing potentiel devrait être la règle d’or ici, même si l’employé a ouvert l’e-mail ou téléchargé une pièce jointe. Les employés doivent bénéficier d’un processus et d’un environnement favorables lorsqu’ils signalent des e-mails de phishing potentiels qu’ils ont identifiés ou ouverts. 

Ne rendez pas l’environnement négatif ou qui ressemble à un bizutage d’un employé lorsqu’il signale un e-mail de phishing. 

Lors d’un récent MSP Live Chat, qui comprenait un défi de phishing pour d’autres professionnels de l’informatique, Connor Swalm, PDG de Phin Security, est allé encore plus loin en déclarant :

« Ne sensibilisez pas vos employés à un test de phishing à une date ou une heure précise. Si vous le faites, ils n’ouvriront aucun de leurs e-mails ces jours-là, ce qui réduira l’efficacité de l’entreprise et la communication. »

 

Connor Swalm, PDG et Fondateur de Phin Security

 

Connor a parlé des risques de la « formation punitive au hameçonnage » lors de notre MSP Live Chat, regardez la vidéo :

Hammer comprend les types d’attaques de phishing les plus courants

Plus les employés sont familiarisés avec tous les types d’attaques par hameçonnage, mieux ils seront préparés lorsqu’il s’agira de signaler les véritables attaques. 

La « Federal Trade Commission » a établi cette liste qui présente les types d’attaques de phishing les plus courants. Y compris la façon dont certains schémas d’hameçonnage par ingénierie sociale peuvent inclure des e-mails, des SMS et même des appels téléphoniques pour recueillir les informations nécessaires à l’exécution d’un piratage. 

Cela dit, ne créez pas une longue liste technique de menaces. Il s’agit plutôt de traduire les menaces les plus courantes, de façon à ce qu’elles puissent être assimilées par les dirigeants de toute l’organisation. Des exemples concrets, tels que ceux présentés sur notre MSP Live Chat, permettent d’ajouter de la couleur tout en aidant le personnel à comprendre les réalités du problème. 

Encouragez la prudence et appuyez-vous sur la politique de l’entreprise lorsque cela est possible

La politique de l’entreprise en matière de transferts de fonds, les communications du PDG et la création de nouvelles connexions constituent un excellent guide pour permettre aux employés d’identifier un e-mail de phishing. 

Selon la politique de l’entreprise, votre entreprise n’accepte pas les transferts de fonds ponctuels pour des services supplémentaires. Dans ce cas, il peut s’agir d’un moyen simple pour un membre du personnel de repérer un hameçon. 

En outre, nous recommandons de définir dans une politique ce que les employés doivent attendre en termes de communication de la part du PDG pour les demandes urgentes. Ainsi, lorsque de nouveaux employés arrivent et voient dans leur boîte de réception une demande urgente de 600 dollars de cartes-cadeaux Amazon, ils savent que le PDG ne demanderait pas ce genre de choses par e-mail. 

Ray Orsini, PDG de OITVOIP, un habitué du MSP Live Chat, a décortiqué cet exemple autour des cartes-cadeaux pour les employés, regardez la vidéo ci-dessous : 

La culture de la sécurité l’emporte sur la formation à la sécurité

« La culture est la force la plus puissante de l’humanité » — Kanye West

Toutes les entreprises devraient prévoir des formations régulières sur la sécurité dans le calendrier des employés, mais lorsque la sécurité fait partie de votre culture organisationnelle, vous la rendez incontournable et constamment présente dans l’esprit des employés. 

Veillez à ce que les règles soient simples et faciles à comprendre afin que votre équipe sache ce que l’on attend d’elle et qu’elle ne se contente pas de participer à la défense de l’organisation contre les acteurs malveillants, mais qu’elle en fasse partie intégrante. 

Pour aller plus loin

Les principes fondamentaux de la sécurité des appareils sont essentiels à votre posture de sécurité globale. NinjaOne facilite l’application de correctifs, le durcissement, la sécurisation et la sauvegarde des données de tous les appareils de façon centralisée, à distance et à grande échelle.
Pour en savoir plus sur NinjaOne Backup, participez à une visite guidée en direct ou commencez votre essai gratuit de la plateforme NinjaOne.

Vous pourriez aussi aimer

Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).