Entreprises : quelles règles de cybersécurité appliquer ?

En pleine recrudescence, de nombreuses attaques ciblent les particuliers mais aussi les entreprises et les administrations. Elles visent à obtenir des informations personnelles afin de les exploiter ou de les revendre. Hameçonnage (phishing) et «Rançongiciel» (ransomware) sont des exemples connus d’actes malveillants portant préjudices aux internautes. Pour s’en prémunir, le Gouvernement nous informe.

Attaque par hameçonnage (phishing)

L’hameçonnage, phishing ou filoutage est une technique malveillante très courante sur Internet.

L’objectif : opérer une usurpation d’identité afin d’obtenir des renseignements personnels et des identifiants bancaires pour en faire un usage criminel.

  1. Le cybercriminel se « déguise » en un tiers de confiance (banques, administrations, fournisseurs d’accès à Internet…) et diffuse un mail frauduleux, ou contenant une pièce jointe piégée, à une large liste de contacts. Le mail invite les destinataires à mettre à jour leurs informations personnelles (et souvent bancaires) sur un site internet falsifié vers lequel ils sont redirigés.
  2. La liste comprend un nombre si important de contacts et augmente les chances que l’un des destinataires se sente concerné par le message diffusé.
  3. En un clic, il est redirigé vers le site falsifié qui va recueillir l’ensemble des informations qu’il renseigne.
  4. Ces informations sont alors mises à disposition du cybercriminel qui n’a plus qu’à faire usage des identifiants, mots de passe ou données bancaires récupérées.

Attaque par «Rançongiciel» (ransomware)

Les rançongiciels sont des programmes informatiques malveillants de plus en plus répandus (ex : Locky, TeslaCrypt, Cryptolocker, etc.).

L’objectif : chiffrer des données puis demander à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

  1. Le cybercriminel  diffuse un mail qui contient des pièces jointes et / ou des liens piégés. Le corps du message contient un message correctement rédigé, parfois en français, qui  demande de payer rapidement une facture par exemple.    
  2. En un clic, le logiciel est téléchargé sur l’ordinateur et commence à chiffrer les données personnelles : les documents bureautiques (.doc, .xls, .odf…etc), les photos, la musique, les vidéos…etc.
  3. Les fichiers devenus inaccessibles, un message s’affiche pour réclamer le versement d’une rançon, payable en bitcoin ou via une carte prépayée, en échange de la clé de déchiffrement. Attention, rien n’indique que le déchiffreur en question soit efficace ! Voir la vidéo et les conseils sur les rançongiciels de CYBERMALVEILLANCE.GOUV.FR .

Pour s’en prémunir :

  • N’ayez pas une confiance aveugle dans le nom de l’expéditeur de l’email. Au moindre doute, n’hésitez pas à contacter l’expéditeur par un autre biais.
  • Méfiez-vous des pièces jointes, elles pourraient être contaminées. Au moindre doute, n’hésitez pas à contacter l’expéditeur pour en connaître la teneur.
  • Ne répondez jamais à une demande d’informations confidentielles par mail.
  • Passez votre souris au-dessus des liens, faites attention aux caractères accentués dans le texte ainsi qu’à la qualité du français ou de la langue pratiquée par votre interlocuteur (ex : orthographe).

Plus d’informations : L’action contre la cybercriminalité | Gouvernement.fr

Utilisez un équipement informatique efficace

La première étape pour vous protéger de cyberattaques est de vous doter d’un équipement informatique efficace et régulièrement mis à jour :

  • Procédez aux mises à jour suggérées par les logiciels en respectant les conditions d’utilisation qui accompagnent la plupart des appareils.
  • Utilisez le filtre contre l’hameçonnage du navigateur internet : la plupart des navigateurs existants proposent une fonctionnalité d’avertissement contre l’hameçonnage. Ces fonctions aident à maintenir votre vigilance.
  • Utilisez un logiciel de filtre anti-pourriel ou les fonctionnalités de classement automatique en tant que spam de votre boite de réception  même si ces filtrages ne sont pas exhaustifs, ils permettent de réduire le nombre de pourriels.

Plus d’informations : Sécurité de vos données : qu’est-ce que l’attaque par hameçonnage ciblé (spearphishing) ?

Dotez-vous d’une identité numérique fiable

Créez un nom de domaine fiable

Le nom de domaine constitue la base de l’identité numérique d’une entreprise. Il s’agit de la partie qui se trouve après le « @ » dans les courriels et celle située après « www. » dans les adresses de sites.

Si vous choisissez d’utiliser un domaine se terminant par « .fr » vous pourrez bénéficier des services de l’Association française pour le nommage Internet en coopération (AFNIC).

Choisissez une messagerie sécurisée

Le courriel est dans une entreprise l’un des moyens de communication les plus utilisés. Il fait aussi régulièrement l’objet de cyberattaques, notamment en matière d’usurpation d’identité ou de fraude.

Pour vous en prémunir, assurez-vous que le fournisseur d’accès choisi soit à jour sur les standards de sécurité actuels.

Luttez contre les spams

Le spam, courriel indésirable ou pourriel, est une communication électronique non sollicitée. Cela va de l’abus marketing à l’hameçonnage, qui consiste à travestir un courriel en message d’une banque, d’un site marchand déjà fréquenté ou de tout autre service, afin de récupérer les données personnelles du destinataire. Les spams peuvent donc représenter un réel danger pour votre entreprise.

Afin de vous prémunir efficacement contre cette menace potentielle, consultez lles conseils du Gouvernement : « Comment lutter contre les spams ? ».

Si vous pensez avoir été victime d’une escroquerie ou d’une tentative d’escroquerie par phishing signalez-le sur signal-spam.fr.

Sécurisez votre site web

Il est vivement recommandé de créer un site web disposant d’une sécurité « https ».

Par ailleurs, pour assurer une sécurité la plus optimale possible, il est nécessaire de faire une revue régulière des paramètres de sécurité de votre site web et de procéder aux mises à jour nécessaires.

Les services du Haut fonctionnaire de défense et de sécurité du ministère de l’Économie et des finances vous permettent de réaliser – gratuitement et en ligne – votre auto-diagnostics de cybersécurité afin de vérifier que vos protections ou celles de vos partenaires et fournisseurs sont bien en place.

Source : Entrepreneurs : quelles règles de cybersécurité appliquer ? | economie.gouv.fr

Laisser un commentaire

at eleifend leo libero. fringilla accumsan Praesent pulvinar diam id,
Share This