Header tips na phishing
17 août 2021 / Approfondissement

Les 6 conseils les plus efficaces pour éviter une (nouvelle) attaque d’hameçonnage sur votre entreprise

Même avant que votre entreprise soit hameçonnée, vous devez prendre des mesures. Quelles mesures devez-vous prendre et comment pouvez-vous empêcher que cette situation ne se produise (à nouveau) ? L'expert d’hameçonnage Arnout Van de Meulebroucke vous donne six conseils.


Pourquoi devriez-vous avoir peur d'une (nouvelle) attaque d'hameçonnage ?

« Mieux vaut prévenir que guérir », voilà un joli dicton, mais parfois l'inévitable se produit et vous n'avez pas d'autre choix que d'essayer de limiter les dégâts, de supporter les conséquences et enfin, d'empêcher que de tels incidents ne se reproduisent.

Le coût moyen d'un piratage majeur se situe aujourd'hui autour de quatre millions de dollars, selon la source de renseignements sur les cybermenaces que vous consultez. En outre, 90 % des piratages sont le résultat d'une erreur humaine, souvent une attaque de phishing réussie. Des chiffres qui ne rendent pas vraiment optimiste.

Si vous avez été victime d'un piratage ou d'une cyberattaque, vous voulez bien sûr éviter que cela ne se reproduise. Mais d'abord, vous devez remettre de l’ordre dans tout cela.

Comment se rendre au travail ?

Mieux prévenir que guérir : c'est un bel adage. Le coût moyen d'un piratage informatique important aujourd'hui est d'environ quatre millions d'euros, selon les statistiques incontournables sur les menaces cybernétiques. De plus, 90 % de tous les piratages sont le résultat d'une erreur humaine, souvent une attaque d’hameçonnage réussi. Des chiffres qui n'incitent pas vraiment à l'optimisme.

Cependant, l'inévitable se produit parfois et vous n'avez d'autre choix que d'essayer de limiter les dégâts, de supporter les conséquences et enfin d'empêcher que de tels incidents ne se reproduisent. Mais d'abord, vous devez nettoyer le désordre.

6 moyens efficaces de prévenir les attaques d'hameçonnage

1. Avant de commencer à réparer les dégâts, il faut d'abord essayer d'en limiter les conséquences. Et cela peut être assez important : les logiciels anti-ransomware, anti-malware, antivirus et autres permettent bien sûr d'éviter les problèmes majeurs, mais dès qu'un pirate parvient à pénétrer dans votre réseau, les conséquences (et les coûts) peuvent être considérables. Les moyens techniques ne sont donc utiles que dans une certaine mesure.

Limitez donc l’étendue des dégâts : restaurez les sauvegardes, nettoyez le réseau et recherchez les "déchets" que les pirates peuvent utiliser pour attaquer à nouveau. Après tout, il ne sert à rien de dépenser de l'argent pour des mesures correctives si vous pouvez rencontrer le même problème la semaine suivante.

Nous constatons que les entreprises sont généralement très promptes à réagir - malheureusement - mais la triste vérité est qu'elles réagissent généralement en faisant des exercices qu'elles auraient dû faire bien plus tôt. Ce n'est qu'après une fuite importante qu'elles se demandent comment renforcer leur maillon le plus faible, à savoir les humains. Si vous ne l'avez pas encore fait, c'est le moment.

1. Limiter les (possibles) conséquences

Tips na phishing main

Votre première étape devrait toujours être d'essayer de limiter les conséquences. Et il s'agit là d'une entreprise de taille : des logiciels anti-logiciels rançonneurs, anti-logiciels malveillants, antivirus et autres aident à prévenir les problèmes majeurs, bien sûr, mais dès qu'un pirate parvient à pénétrer vos défenses, les conséquences (et les coûts) peuvent être considérables. Les moyens techniques ne sont donc utiles que dans une certaine mesure.

Si vous avez déjà été piraté, limitez les dégâts : restaurez les sauvegardes, nettoyez le réseau et recherchez les « déchets » que les pirates peuvent utiliser pour attaquer à nouveau. Après tout, il est inutile de dépenser de l'argent pour remédier à la situation si vous risquez de rencontrer à nouveau le même problème la semaine prochaine.

Nous constatons que les entreprises sont généralement très rapides à réagir – heureusement – mais la triste vérité est qu'elles auraient dû faire bien plus tôt. Ce n'est qu'après une fuite majeure qu'elles se demandent comment renforcer leur maillon le plus faible, à savoir leur personnel. Si vous ne l'avez pas encore fait, c'est le moment de le faire.

2. En même temps que vous limitez les dégâts, vous devez toutefois respecter les règles. Depuis l'introduction du GDPR - et de divers règlements depuis lors -, une organisation est obligée d'informer les autorités nécessaires de l'étendue des problèmes, de ce qu'elle va faire à ce sujet et aussi, de ce qu'elle a déjà fait pour éviter ces problèmes.

Cette dernière étape joue dans l'ampleur de la sanction qu'elles peuvent encourir lorsque cette autorité juge que l'organisation a commis des erreurs. Si vous avez déjà investi dans la formation de vos employés pour faire face aux cyberrisques et les prévenir, n'oubliez pas de le mentionner ! En outre, vous informez évidemment vos clients et partenaires si leurs données ont été ou pourraient être volées.

3. Après avoir atténué les autres conséquences, il est temps de se tourner vers l'avenir : quelles mesures pouvez-vous prendre pour éviter que cela ne se reproduise à l'avenir ? La première étape, bien sûr, est de former votre personnel. En supposant que l'aspect technique soit en place, il est peut-être temps de renforcer l'aspect humain en lui fournissant les outils et les conseils nécessaires.

L'époque où les moyens techniques étaient suffisants pour protéger une organisation est révolue. Aujourd'hui, il est nécessaire d'amener les connaissances et le comportement des employés au même niveau que les outils technologiques. Ce n'est qu'alors qu'une entreprise sera pleinement protégée contre des menaces de plus en plus complexes.

Tips na phishing main

2. Se renseigner sur les règles pertinentes

Comment Phished peut contribuer concrètement

Afin de réduire les menaces aussi rapidement et efficacement que possible, les personnes doivent être formées le plus régulièrement possible. Des recherches ont déjà montré que la formation à la cybersécurité perd son impact après un mois. Après six mois, tout est déjà complètement oublié. C'est pourquoi il est important de garder vos employés sur le qui-vive en permanence. Phished y parvient grâce à des formations courtes, automatisées et personnalisées.

Nos simulations de phishing enseignent aux destinataires les bons réflexes, tandis que la Phished Academy permet de comprendre l'importance, la reconnaissance et le traitement des menaces en quelques minutes seulement, ainsi que des centaines d'autres conseils sur un large éventail de questions de cybersécurité. Enfin, Phished veille à ce que les personnes s'engagent dans la stratégie de sécurité de leur organisation. Des employés motivés et préparés constituent une organisation bien mieux protégée.

Vous limitez les dommages potentiels, vous devez toutefois respecter les règles. Depuis l'introduction du RGPD – et de divers règlements depuis – une organisation est tenue d'informer les autorités nécessaires de l'étendue des problèmes, de ce qu'elle va à ce sujet et aussi de ce qu'elle a déjà fait pour éviter de tels problèmes.

Cette dernière étape joue dans sur l'ampleur de la sanction qu'une organisation peut encourir lorsque cette autorité juge que des erreurs ont été commises. Si vous avez déjà investi dans la formation de vos employés pour faire face aux cyberrisques et les prévenir, n'oubliez pas de le mentionner ! En outre, vous devez également informer vos clients et partenaires si leurs données ont (éventuellement) été volées.

Essayez-le gratuitement

3. L'avenir : la prévention de l'hameçonnage

Heureusement, vous n'avez pas à me croire sur parole : Phished offre à chaque organisation un essai gratuit de 14 jours pour 25 destinataires. Sans obligation d'achat - vous n'avez même pas à communiquer vos coordonnées de paiement. Un test est lancé en trois étapes simples : vous créez un compte, vous ajoutez les destinataires (ou nous le faisons automatiquement pour vous !) et notre plateforme fait le reste.

Essayez-la et vous verrez à quel point il est facile de se conformer aux principes de base de la cybersécurité : former vos employés pour qu'ils deviennent des experts en cybersécurité à part entière.

Après avoir atténué les conséquences, il est temps de se tourner vers l'avenir : quelles mesures pouvez-vous prendre pour éviter que cette situation ne se reproduise à l'avenir ? La première étape, bien sûr, est de former votre personnel. En supposant que l'aspect technique soit en place, il est peut-être temps de renforcer l'aspect humain en leur fournissant les outils et les conseils nécessaires.

L'époque où les moyens techniques suffisaient à protéger une organisation est révolue. Aujourd'hui, il est nécessaire d'amener les connaissances et le comportement des employés au même niveau que les outils technologiques. Ce n'est qu'à cette condition qu'une entreprise sera pleinement protégée contre des menaces de plus en plus complexes.

Logo voor website
Essayer Phished gratuitement

Commencez votre essai de 14 jours

..et vivez l'expérience d'une formation cybersécurité qui fonctionne.

4. Éviter l'excès de confiance

Le commissaire de police Stijn De Ridder confirme ce que nous savons depuis longtemps chez Phished : tout le monde est vulnérable en matière d'hameçonnage. Comme il le dit lui-même :

« D'une part, je me demande comment il est possible qu'ils se produisent encore, mais d'autre part, je ne peux pas nier que de nombreuses campagnes d'hameçonnage sont réalisées de manière très professionnelle – que les criminels font plus que simplement ajouter un lien frauduleux sur lequel leurs victimes peuvent cliquer. Ils sont souvent en possession de données divulguées, de « pistes », qui les aident à préparer soigneusement leur attaque en fonction de leur victime spécifique. Puis ils les contactent par téléphone, se présentent comme un employé de banque, après quoi ils parviennent à voler des comptes bancaires entiers. Quand je lis ces histoires, je me dis parfois "cela pourrait m'arriver" ».

Ou, pour dire les choses plus crûment : « Les PDG qui déclarent n'avoir jamais été victimes d'une cyberattaque, ne sont tout simplement pas au courant. »

Retrouvez l'intégralité de l'interview du commissaire de police De Ridder ci-dessous.

5. Si vous voulez que vos collaborateurs soient prêts, donnez-leur les outils nécessaires

Depuis la pandémie de COVID-19, les employés ont vu leur boîte à outils de travail à distance s'élargir considérablement. Du jour au lendemain, ils ont dû apprendre à gérer non seulement leur travail d'une manière complètement différente, mais aussi à l'exécuter. De nouveaux outils leur permettaient d'effectuer leur travail à domicile, mais souvent, ils ne recevaient pas les conseils ou la formation nécessaires pour les utiliser en toute sécurité.

Les gens peuvent ouvrir des portes dérobées sans le vouloir, ils peuvent introduire des menaces sur le réseau de l'entreprise sans même s'en rendre compte. Ou, comme l'a souligné Sabine van Hoijweghen de Secutec : « Les personnes qui n'utilisent pas leur ordinateur comme partie intégrante de leur travail sont souvent beaucoup plus vulnérables et ont donc besoin d'une formation supplémentaire. »

Intéressé par la sécurité informatique du point de vue d'un MSP ? Retrouvez notre interview de Van Hoijweghen ci-dessous.

6. Mettre à jour vos connaissances et vos compétences

Les connaissances générales sur les sujets de cybersécurité n'ont jamais été aussi élevées. Pourtant, les gens semblent avoir plus de difficultés que jamais à lutter réellement contre les menaces. D'une part, le simple volume des cyberattaques complique la lutte contre chaque tentative, mais d'autre part, quelque chose d'autre est en jeu : le fait que savoir ne signifie pas reconnaître.

Le paradoxe du hameçonnage signifie que si plus de gens que jamais connaissent le phénomène, ils ne savent pas toujours comment le reconnaître. Pour se prémunir contre l'hameçonnage – et les autres cybermenaces – il faut s'engager activement sur le sujet, se former et devenir plus compétent en la matière.

Et c'est le cas pour tout. Les cyber experts affirment souvent que les entreprises d'aujourd'hui ne sont pas prêtes pour ce qui les attendra dans cinq ans, mais j'ose dire qu'elles ne sont toujours pas prêtes pour les menaces d'il y a cinq ans. Il est grand temps que les gens mettent de l'ordre dans leurs connaissances, rafraîchissent leurs compétences et commencent à s'attaquer à leurs points faibles. Pour être prêt pour l'avenir, il faut d'abord être prêt à relever les défis d'aujourd'hui.

Découvrez plus d'informations sur les menaces d'aujourd'hui dans la vidéo ci-dessous.

Comment Phished peut-il vous aider à prévenir le hameçonnage ?

Afin de minimiser les menaces aussi rapidement et efficacement que possible, les personnes doivent être formées aussi régulièrement que possible. Des recherches ont déjà montré que la formation à la cybersécurité perd de son efficacité après un mois. Après six mois, tout est complètement oublié, c'est pourquoi il est important de garder les gens sur le qui-vive. C'est ce que fait Phished grâce à des formations courtes, automatisées et personnalisées.

Nos simulations d'hameçonnage enseignent aux destinataires les bonnes réactions, tandis que la Phished Academy permet de comprendre l'importance, la reconnaissance et le traitement des menaces en quelques minutes seulement, et offre des centaines d'autres conseils sur un large éventail de questions de cybersécurité. Enfin, Phished veille à ce que les employés s'engagent dans la stratégie de cybersécurité de leur organisation. Des employés motivés et préparés constituent une organisation bien mieux protégée.

Essayez-le gratuitement

Heureusement, vous n'avez pas à nous croire sur parole : Voyez par vous-même lors d'une démonstration en direct.