Protégez votre petite entreprise contre les attaques de phishing
Publié: 2021-07-27Demandez à n'importe qui et soit lui ou quelqu'un qu'il connaît aura subi une attaque de phishing. Non seulement cela, mais ils connaissent probablement quelqu'un qui a en fait perdu de l'argent à cause d'un.
Le phishing reste le type de cyberattaque le plus courant, avec 74 % des organisations aux États-Unis attaquées avec succès au cours de l'année dernière. Les petites entreprises sont malheureusement particulièrement vulnérables car elles manquent généralement des ressources et des connaissances nécessaires pour se protéger contre ces attaques.
Pourquoi les pirates aiment-ils cibler les petites entreprises ?
Le plus souvent, les petites entreprises ont tendance à avoir l'impression que la cybersécurité n'est pas pertinente pour elles parce qu'elles ne disposent pas des vastes quantités de données ou d'actifs financiers qu'elles pensent que les pirates recherchent, alors pourquoi s'embêter à consacrer du temps et des efforts pour se protéger ?
C'est exactement le genre de mentalité sur laquelle les cybercriminels s'appuient, cependant, car ces entreprises ne parviendront pas à mettre en œuvre des mesures de sécurité efficaces, ce qui en fera des cibles faciles et faciles pour les pirates. Les petites entreprises n'ont pas tendance à investir dans la formation à la cybersécurité de leurs employés. Les attaques de phishing, qui sont conçues pour tromper les gens, ont beaucoup plus de chances de réussir lorsque le destinataire n'a pas le savoir-faire pour y faire face.
Pour certaines attaques, les petites entreprises ne sont même pas la cible finale. Le pirate informatique utilise une petite entreprise comme point d'entrée facile, un tremplin vers les grandes entreprises de la chaîne d'approvisionnement qui les récompenseront vraiment. Ces attaques de la chaîne d'approvisionnement sont en augmentation et commencent presque toujours par une petite entreprise qui n'avait tout simplement pas les cyberdéfense pour se protéger correctement.
Comment fonctionne l'hameçonnage ?
Les attaques de phishing sont toujours l'un des types de cyberattaques les plus répandus contre les entreprises, avec 241 324 incidents rien qu'aux États-Unis l'année dernière. L'enquête du gouvernement britannique sur les cyber-brèches en 2021 a également révélé que le phishing était le vecteur de menace numéro un, responsable de 83 % des attaques.
Le piratage d'un système prend du temps et des efforts, mais il est beaucoup plus facile de faire en sorte que quelqu'un vous donne accès à ces systèmes en tirant parti de leur confiance et en les trompant. L'hameçonnage par e-mail est spécifiquement dirigé contre les humains et utilise souvent des techniques d'ingénierie sociale pour inciter l'utilisateur à fournir des informations sensibles ou à cliquer sur un lien qui déclenche l'installation de logiciels malveillants ou de rançongiciels sur le système du destinataire.
Vous pourriez être ciblé dans le cadre d'une campagne de masse ou il peut s'agir d'une attaque plus spécifique et plus réfléchie contre votre organisation. Dans ce dernier cas, les pirates peuvent utiliser certaines informations sur votre entreprise ou d'autres employés pour rendre l'e-mail plus convaincant. Ce type d'attaque est connu sous le nom de spear phishing.
Les cas de compromission des e-mails professionnels rendent particulièrement difficile la détection d'un escroc, car pour autant que vous puissiez en juger, vous recevez un e-mail légitime d'un collègue ou d'un partenaire commercial. Ces types d'attaques sont utilisés pour encourager les employés, les clients ou toute personne de la chaîne d'approvisionnement à fournir des données sensibles ou à transférer des fonds (qui seront bien sûr dirigés vers le compte bancaire du pirate).
Les pertes financières peuvent avoir de graves répercussions pour une petite entreprise impliquée dans une attaque de phishing, mais les choses peuvent empirer si des personnes extérieures à votre organisation sont ciblées par votre entreprise. Si des pirates informatiques parviennent à accéder au compte d'un employé et à envoyer des e-mails aux fournisseurs, clients ou partenaires de votre entreprise, vous pourriez sérieusement affecter ces relations de confiance et perdre des affaires en raison de craintes que votre entreprise ne soit pas sécurisée.
Comment repérer une attaque de phishing
Nous pensons tous savoir comment en repérer un, mais les e-mails de phishing sont aujourd'hui beaucoup plus sophistiqués et nécessitent des niveaux de vigilance encore plus élevés.
Alors, à quoi pouvez-vous faire attention ?
- Regardez toujours attentivement l'expéditeur. Les domaines usurpés peuvent simplement être un domaine de confiance qui a été subtilement modifié, par exemple, un « i » en « 1 »
- Vérifiez le contenu. Si des promesses suspectes sont faites et que cela semble trop beau pour être vrai, c'est probablement le cas.
- Méfiez-vous du ton. Les pirates utilisent souvent l'urgence dans les e-mails de phishing pour vous convaincre d'agir avant que vous n'ayez eu le temps de réfléchir.
- Épellation et grammaire. L'orthographe et la grammaire correctes ne sont pas toujours le point fort d'un pirate, donc des erreurs évidentes peuvent être un signe de spam.
En ce qui concerne les escroqueries BEC, qui sont généralement beaucoup plus difficiles à détecter, il est important de faire preuve de prudence avant d'envoyer des informations. Les escroqueries courantes incluent l'envoi de fausses factures aux clients, l'usurpation d'identité d'un membre de la haute direction pour demander de l'argent aux employés ou l'usurpation d'identité d'avocats pour demander de l'argent aux clients. En général, il est recommandé de vérifier toutes les demandes de transfert d'argent qui arrivent dans votre boîte de réception.
Que pouvez-vous faire en tant que petite entreprise ?
Entrainement d'employé
La clé pour protéger votre entreprise contre les attaques de phishing est de s'assurer que le personnel est correctement formé, car l'erreur humaine est la raison pour laquelle une tentative de phishing réussit. Il incombe au PDG ou au propriétaire d'une organisation de s'assurer que les employés disposent des conseils appropriés sur les attaques de phishing, sur la façon de les repérer et sur ce qu'il faut faire si vous en rencontrez une.
Cultiver une culture de sécurité et de sensibilisation et s'assurer que les employés disposent des connaissances appropriées est particulièrement important lorsque certains utilisateurs peuvent travailler à domicile, car il y a moins de visibilité et de contrôle dans ces environnements.
Les politiques de sécurité sont un bon moyen de transmettre ces conseils et de s'assurer que les employés les lisent et les comprennent peuvent faire partie du processus d'intégration des employés. Les exercices de cybersécurité sont également un bon moyen de tester ces connaissances - il existe de nombreux exercices en ligne qui peuvent être utilisés gratuitement, tels que «l'exercice en boîte» du NCSC. Pour quelques dollars par mois, d'autres entreprises peuvent proposer une formation à la sécurité, comme des simulations de phishing, où vous pouvez suivre les réponses des employés.
Contrôle d'accès
Il est utile de limiter le nombre de points d'entrée précieux qu'un pirate pourrait exploiter en réduisant les privilèges de compte dans l'ensemble de votre entreprise. Le personnel ne doit pouvoir accéder qu'à ce dont il a besoin pour accomplir son travail.
De cette façon, si un cybercriminel pirate son compte, il ne peut pas accéder à toutes les données sensibles de l'entreprise et la violation peut être contenue. Les comptes d'administrateur doivent être réservés à la gestion de haut niveau. Pour protéger davantage vos comptes contre les violations, pratiquez une bonne sécurité par mot de passe et assurez-vous que l'authentification multifacteur est activée.
Sauvegarde de données
Sauvegarder régulièrement toutes les données sensibles au sein de votre organisation signifie que tout n'est pas perdu si un pirate parvient à y accéder via une tentative de phishing. Idéalement, votre stratégie de sauvegarde doit respecter la meilleure pratique de trois copies : deux sur des supports différents, dont une hors site, et toutes les sauvegardes doivent être cryptées pour plus de sécurité. Vous pouvez choisir de sauvegarder à l'aide d'un fournisseur de cloud ou d'un lecteur externe, mais quelle que soit la méthode, ils doivent être surveillés et régulièrement et vérifiés pour s'assurer que la récupération est possible.
Logiciel de sécurité
S'assurer que les logiciels de sécurité sont toujours à jour est indispensable pour se protéger contre les violations et les attaques de phishing. Ceux-ci sont souvent configurés pour se mettre à jour automatiquement, mais il vaut toujours la peine de vérifier les derniers correctifs. Bien que la formation des employés jouera le rôle le plus important dans la prévention des attaques de phishing, des garanties supplémentaires sont utiles car vous ne pouvez pas toujours garantir que les humains feront les choses correctement, quel que soit le niveau de formation et de cybervigilance dont ils disposent.
Des solutions de sécurité tierces peuvent être mises en œuvre pour fonctionner en arrière-plan, en surveillant l'activité de messagerie des utilisateurs, les tentatives de connexion et les téléchargements de fichiers, afin que toute anomalie ou tout compte piraté soit rapidement détecté et signalé. Ceux-ci peuvent aider à créer un filet de sécurité afin que même lorsqu'un employé de l'entreprise commet une erreur, cela n'ait pas à être désastreux.
Conclusion
Protéger votre organisation contre les attaques de phishing ne doit pas nécessairement être coûteux ni prendre beaucoup de temps, mais il est essentiel pour les petites et moyennes entreprises d'avoir une approche en couches, en s'assurant que le personnel reçoive la bonne formation ainsi qu'en gérant et en configurant correctement les logiciels pour continuer à développer vos défenses.
Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.