Les e-mails frauduleux sont déjà courants dans nos boîtes personnelles (on a tous reçu les courriels sur le CPF…) Aujourd’hui, ils s’incrustent dans nos boîtes pros. Comment les reconnaître et s’en prémunir ? On vous dit tout.
Vous êtes au travail et vous recevez un e-mail des ressources humaines. Ils vous informent de « bien vouloir trouver la présentation de la nouvelle organisation ci-jointe ». Curieux, vous cliquez sur dessus et là, bim… c’est trop tard. À l’autre bout de l’e-mail, des pirates informatiques se sont introduits dans le réseau de votre entreprise et commencent à en aspirer les données.
Oui, ce scénario peut faire frissonner (ce n’est jamais agréable d’être victime d’une arnaque), d’autant plus que même les plus avertis tombent dans le piège… Mais la bonne nouvelle, c’est qu’il existe plusieurs astuces pour s’en prémunir. On vous explique tout.
À quoi ressemblent ces e-mails frauduleux en entreprise ?
L’hameçonnage, ou « phishing », est une technique qui fait croire aux personnes qui reçoivent ces faux e-mails (nous, vous…) qu’ils ont été contactés par une personne de confiance : une banque, l’administration, etc. L’objectif des pirates ? Soutirer à leurs victimes des informations personnelles.
En entreprise, plusieurs de ces faux e-mails arrivent jusqu’aux employés, et ce malgré les logiciels censés les stopper. Ils peuvent prendre plusieurs formes :
Un e-mail semblant émaner d’un individu haut placé dans l’entreprise : votre supérieur, le CEO, son adjoint… Celui-ci demande à un employé (souvent du département financier) de régler une facture sur un compte spécifique (vous avez deviné : il s’agit de celui des arnaqueurs) ;
Un e-mail qui se fait passer pour un logiciel de partage de document, connu ou pas, et qui demande de cliquer sur une adresse pour télécharger un fichier envoyé par un collègue.
Un message usurpant l’identité des RH avec un faux lien.
Un faux e-mail de notification, nous informant que nous rencontrons un problème dans la connexion d’un logiciel et que pour le résoudre, nous devons (évidemment) cliquer sur un lien (frauduleux)…
Un exemple d’email de fishing en entreprise (source : terranovasecurity)
Quelles sont les conséquences pour les entreprises ?
Ce genre de cyberattaque est de plus en plus fréquente dans le monde du travail et s’est même accéléré depuis le confinement, où le télétravail s’est déployé. Selon le Club des experts de la sécurité de l’information et du numérique (Cesin), plus de la moitié des entreprises a subi entre une et trois cyberattaques réussies en 2021.
Les conséquences peuvent être parfois désastreuses pour l’entreprise : usurpations de données en vue d’un vol de données ou d’argent, diffusion de logiciels malveillants, demande de rançons pour débloquer des données cryptées par les pirates… À cause de ces cyberattaques, 6 entreprises sur 10 ont même connu un impact sur leur business.
Qui tombe dans le piège ?
Tout le monde… C’est une des conclusions d’une étude réalisée par F-Secure. Pour mieux analyser ce phénomène, le spécialiste de la sécurité a envoyé des faux e-mails à plus de 82 000 faux-emails collaborateurs d’entreprises.
Bilan : 22% des collaborateurs ont répondu aux faux messages usurpant l’identité des RH, 16% à ceux semblant émaner de leur CEO et leur demandant de régler une facture. Plus étonnant : 30% des développeurs d’une entreprise (pourtant très branchés sur ces sujets) ont cliqué sur la pièce jointe. Ils sont bien plus nombreux que la moyenne de l’entreprise (11%).
Source : cybermalveillance.gouv.fr
Comment lutter contre ces mails de « phishing » (et ne pas se faire avoir) ?
Le premier filet se trouve du côté des entreprises. Pour limiter les risques de cyberattaque, il est d’abord important d’installer des logiciels de sécurité efficaces ET de les mettre à jour. Proposer aux salariés des formations sur les bons gestes de cybersécurité peut s’avérer très utile. Et pour limiter les dégâts, il existe plusieurs assurances cybersécurité.
Côté salarié : la première chose à faire est … de faire une pause quand un e-mail nous semble étrange. Car ce qui fait qu’on tombe dans le panneau, souvent, c’est qu’en voulant bien faire et faire vite, on ne prend pas le temps de vérifier, même quand un e-mail nous semble étonnant.
Alors si on vous demande de payer une facture ou d’ouvrir un document dont vous n’avez jamais entendu parler, si des RH vous envoient une pièce jointe dont vous n’aviez pas été prévenus… avant de faire la moindre action :
Soufflez, prenez quelques secondes de pause
Vérifiez l’adresse e-mail. S’il ne s’agit pas de celle de votre correspondant habituel, signalez-le immédiatement et ne l’ouvrez pas.
Dans le cas des faux emails de partage de document, au moindre doute, contactez le collègue ou le prestataire qui vous aurait envoyé ce document pour bien vérifier que vous pouvez l’ouvrir. Sinon, signalez-le.
Abonnez-vous à notre newsletter Bien Vivre le Digital!
En validant votre inscription, vous acceptez explicitement l’utilisation de vos données personnelles à l’usage exclusif du traitement de votre demande soumise via ce formulaire.
Notice sur le protection des données personnelles