Comment éviter les arnaques à la messagerie pro ?

Publié le : 17-02-2022

#conseilsetastuces Sécurité

Les e-mails frauduleux sont déjà courants dans nos boîtes personnelles (on a tous reçu les courriels sur le CPF…) Aujourd’hui, ils s’incrustent dans nos boîtes pros. Comment les reconnaître et s’en prémunir ? On vous dit tout.

Un hameçon
Un hameçon
Un hameçon

Vous êtes au travail et vous recevez un e-mail des ressources humaines.  Ils vous informent de « bien vouloir trouver la présentation de la nouvelle organisation ci-jointe ». Curieux, vous cliquez sur dessus et là, bim… c’est trop tard. À l’autre bout de l’e-mail, des pirates informatiques se sont introduits dans le réseau de votre entreprise et commencent à en aspirer les données.

Oui, ce scénario peut faire frissonner (ce n’est jamais agréable d’être victime d’une arnaque), d’autant plus que même les plus avertis tombent dans le piège… Mais la bonne nouvelle, c’est qu’il existe plusieurs astuces pour s’en prémunir. On vous explique tout.

 

À quoi ressemblent ces e-mails frauduleux en entreprise ?


L’hameçonnage, ou « phishing »
, est une technique qui fait croire aux personnes qui reçoivent ces faux e-mails (nous, vous…) qu’ils ont été contactés par une personne de confiance : une banque, l’administration, etc. L’objectif des pirates ? Soutirer à leurs victimes des informations personnelles.

 

En entreprise, plusieurs de ces faux e-mails arrivent jusqu’aux employés, et ce malgré les logiciels censés les stopper. Ils peuvent prendre plusieurs formes :

  1. Un e-mail semblant émaner d’un individu haut placé dans l’entreprise : votre supérieur, le CEO, son adjoint… Celui-ci demande à un employé (souvent du département financier) de régler une facture sur un compte spécifique (vous avez deviné : il s’agit de celui des arnaqueurs) ;
  2. Un e-mail qui se fait passer pour un logiciel de partage de document, connu ou pas, et qui demande de cliquer sur une adresse pour télécharger un fichier envoyé par un collègue.
  3. Un message usurpant l’identité des RH avec un faux lien.
  4. Un faux e-mail de notification, nous informant que nous rencontrons un problème dans la connexion d’un logiciel et que pour le résoudre, nous devons (évidemment) cliquer sur un lien (frauduleux)…

 

Un email de fishing
Un exemple d’email de fishing en entreprise (source : terranovasecurity)

 

Quelles sont les conséquences pour les entreprises ?

 

Ce genre de cyberattaque est de plus en plus fréquente dans le monde du travail et s’est même accéléré depuis le confinement, où le télétravail s’est déployé. Selon le Club des experts de la sécurité de l’information et du numérique (Cesin), plus de la moitié des entreprises a subi entre une et trois cyberattaques réussies en 2021.

Les conséquences peuvent être parfois désastreuses pour l’entreprise : usurpations de données en vue d’un vol de données ou d’argent, diffusion de logiciels malveillants, demande de rançons pour débloquer des données cryptées par les pirates…  À cause de ces cyberattaques, 6 entreprises sur 10 ont même connu un impact sur leur business.

 

Qui tombe dans le piège ?

 

Tout le monde… C’est une des conclusions d’une étude réalisée par F-Secure. Pour mieux analyser ce phénomène, le spécialiste de la sécurité a envoyé des faux e-mails à plus de 82 000 faux-emails collaborateurs d’entreprises.

Bilan : 22% des collaborateurs ont répondu aux faux messages usurpant l’identité des RH, 16% à ceux semblant émaner de leur CEO et leur demandant de régler une facture. Plus étonnant : 30% des développeurs d’une entreprise (pourtant très branchés sur ces sujets) ont cliqué sur la pièce jointe. Ils sont bien plus nombreux que la moyenne de l’entreprise (11%).

Les cyber menaces
Source : cybermalveillance.gouv.fr

 

Comment lutter contre ces mails de « phishing » (et ne pas se faire avoir) ?

 

Le premier filet se trouve du côté des entreprises. Pour limiter les risques de cyberattaque, il est d’abord important d’installer des logiciels de sécurité efficaces ET de les mettre à jour. Proposer  aux salariés des formations sur les bons gestes de cybersécurité peut s’avérer très utile. Et pour limiter les dégâts, il existe plusieurs assurances cybersécurité.

 

Côté salarié : la première chose à faire est … de faire une pause quand un e-mail nous semble étrange. Car ce qui fait qu’on tombe dans le panneau, souvent, c’est qu’en voulant bien faire et faire vite, on ne prend pas le temps de vérifier, même quand un e-mail nous semble étonnant.

Alors si on vous demande de payer une facture ou d’ouvrir un document dont vous n’avez jamais entendu parler, si des RH vous envoient une pièce jointe dont vous n’aviez pas été prévenus… avant de faire la moindre action :

  1. Soufflez, prenez quelques secondes de pause
  2. Vérifiez l’adresse e-mail. S’il ne s’agit pas de celle de votre correspondant habituel, signalez-le immédiatement et ne l’ouvrez pas.
  3. Dans le cas des faux emails de partage de document, au moindre doute, contactez le collègue ou le prestataire qui vous aurait envoyé ce document pour bien vérifier que vous pouvez l’ouvrir. Sinon, signalez-le.

    Protéger ses documents professionnels
    Source : Wavestone

 

En savoir plus :

  1. Savoir reconnaître une tentative de phishing
  2. Attention aux arnaques en ligne, notamment quand on télétravaille. On fait le point.
  3. Retrouvez les conseils de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour travailler depuis chez soi en toute sécurité ici

À RETENIR

 Les détails qui doivent vous alerter pour détecter un e-mail frauduleux ?

  • – L’expéditeur est suspect ;
  • – Le nom affiché ne correspond pas à l’adresse e-mail ;
  • – L’e-mail affiché n’est pas celui de la personne concernée ;
  • – Le sujet est inhabituel ;
  • – La pièce jointe est suspecte ou inattendue ;
  • – Le message n’est pas personnalisé, ou grossièrement ;
  • – Des erreurs de syntaxe ou d’orthographe sont présentes ;
  • – L’interlocuteur demande des informations personnelles et/ou sensibles ;
  • – Le message a un caractère urgent, demande de régler rapidement une facture ou promet un gain ;
  • – L’URL affichée paraît suspecte (pour le savoir, il faut simplement passer votre souris dessus) ;
  • – L’esthétique est douteuse.

Dans tous ces cas, il ne FAUT pas cliquer sur les liens

 

J’ai cliqué sur un e-mail douteux, que dois-je faire ?

Si vous avez ouvert la pièce jointe, déconnectez votre PC du réseau (câble et Wi-Fi). Informez votre service informatique au plus vite.

ou Rendez-vous sur la plateforme dédiée du ministère de l’Intérieur :
https://www.internet-signalement.gouv.fr/