Les 6 conseils les plus efficaces pour éviter une (nouvelle) attaque d’hameçonnage sur votre entreprise

Traiter les informations correctement et en toute sécurité n'est pas seulement nécessaire pour chaque organisation, c'est aussi et surtout obligatoire. Un manque de sécurité de l'information peut avoir des conséquences graves telles que des violations de données ou des attaques de phishing. Avec un certificat ISO, une entreprise montre qu'elle se conforme à certaines normes internationales, et la norme ISO 27001 est un exemple d'une telle norme concernant la cybersécurité. Les conditions qui y sont énumérées aident les organisations à éviter les risques majeurs.

Mieux prévenir que guérir : c'est un bel adage. Le coût moyen d'un piratage informatique important aujourd'hui est d'environ quatre millions d'euros, selon les statistiques incontournables sur les menaces cybernétiques. De plus, 90 % de tous les piratages sont le résultat d'une erreur humaine, souvent une attaque d’hameçonnage réussi. Des chiffres qui n'incitent pas vraiment à l'optimisme.

Cependant, l'inévitable se produit parfois et vous n'avez d'autre choix que d'essayer de limiter les dégâts, de supporter les conséquences et enfin d'empêcher que de tels incidents ne se reproduisent. Mais d'abord, vous devez nettoyer le désordre.

ISO est l'abréviation de "International Organization for Standardization" (Organisation internationale de normalisation). Il s'agit d'une organisation qui élabore et publie des normes internationales, qui s’appellent « normes ISO ». La norme ISO 27001 signifie qu'une organisation gère correctement la confidentialité, la disponibilité et l'intégrité de toutes ses données. Par le biais d'une liste d'exigences, la norme montre comment gérer cela de la meilleure manière possible.

Une condition essentielle pour être conforme à la norme ISO 27001 est de mettre en place un système de gestion de la sécurité de l'information (SGSI) sûr. La norme exige, entre autres, que vous utilisiez ce système de gestion de la sécurité de l'information pour examiner et suivre systématiquement les risques liés à la sécurité de l'information, tels que des comptes mal sécurisés, au sein de votre entreprise.

En outre, un SGSI doit permettre d'éviter ces risques. La formation à la lutte contre l’hameçonnage en est un élément important, car c'est ainsi que vous sensibilisez vos employés à la sécurité et que vous prévenez les dangers. Tout cela contribue à rendre le SGSI encore plus efficace. ISO 27001 signifie également qu'une organisation évalue et ajuste régulièrement sa sécurité de l'information.

Votre première étape devrait toujours être d'essayer de limiter les conséquences. Et il s'agit là d'une entreprise de taille : des logiciels anti-logiciels rançonneurs, anti-logiciels malveillants, antivirus et autres aident à prévenir les problèmes majeurs, bien sûr, mais dès qu'un pirate parvient à pénétrer vos défenses, les conséquences (et les coûts) peuvent être considérables. Les moyens techniques ne sont donc utiles que dans une certaine mesure.

Si vous avez déjà été piraté, limitez les dégâts : restaurez les sauvegardes, nettoyez le réseau et recherchez les « déchets » que les pirates peuvent utiliser pour attaquer à nouveau. Après tout, il est inutile de dépenser de l'argent pour remédier à la situation si vous risquez de rencontrer à nouveau le même problème la semaine prochaine.

Nous constatons que les entreprises sont généralement très rapides à réagir – heureusement – mais la triste vérité est qu'elles auraient dû faire bien plus tôt. Ce n'est qu'après une fuite majeure qu'elles se demandent comment renforcer leur maillon le plus faible, à savoir leur personnel. Si vous ne l'avez pas encore fait, c'est le moment de le faire.

La certification ISO 27001 est un véritable atout pour toute organisation. Pour l'obtenir, une entreprise doit passer par les étapes suivantes :

1. Acheter et lire la norme ISO 27001 : elle contient toutes les exigences que vous devez respecter pour obtenir la certification.
2. Évaluation des risques : identifier tous les risques possibles en matière de sécurité de l'information. Des tests de mesure de base par le biais de simulations de phishing de Phished peuvent vous aider.
3. Plan de traitement des risques : élaborer un plan adéquat avec des mesures appropriées pour chaque risque.
4. Rédiger une déclaration d'applicabilité. Il s'agit d'un document dans lequel vous enregistrez les actions du catalogue des mesures de sécurité de l'ISO 27001 qui s'appliquent à votre organisation.
5. Faire une analyse globale. Elle regroupe les étapes 2, 3 et 4. Vous enregistrez la manière dont vous allez gérer les incidents inattendus et ce que vous allez faire si un risque de sécurité de l'information s'est produit.
6. Élaborer une politique de sécurité de l'information, y compris le système de gestion de la sécurité de l'information (SGSI), dont la formation à l'anti-hameçonnage est un élément essentiel.

Ensuite, une partie indépendante visitera votre entreprise et effectuera un audit. Si vous réussissez, vous recevrez un certificat ISO valable trois ans.

Vous limitez les dommages potentiels, vous devez toutefois respecter les règles. Depuis l'introduction du RGPD – et de divers règlements depuis – une organisation est tenue d'informer les autorités nécessaires de l'étendue des problèmes, de ce qu'elle va à ce sujet et aussi de ce qu'elle a déjà fait pour éviter de tels problèmes.

Cette dernière étape joue dans sur l'ampleur de la sanction qu'une organisation peut encourir lorsque cette autorité juge que des erreurs ont été commises. Si vous avez déjà investi dans la formation de vos employés pour faire face aux cyberrisques et les prévenir, n'oubliez pas de le mentionner ! En outre, vous devez également informer vos clients et partenaires si leurs données ont (éventuellement) été volées.

Outre le fait que Phished stocke ses serveurs d'application et ses données dans les centres de données de Google qui sont conformes aux normes ISO 27001 et ISO 27017, nous pouvons aider d'autres entreprises à obtenir un tel certificat. Une norme ISO mentionnée précédemment implique que l'organisation examine les risques possibles en matière de sécurité de l'information.

Phished propose un test zéro par le biais de simulations de phishing, ce qui vous donne un aperçu des éventuels points faibles. Afin d'être conforme à la norme ISO 27001, vous devez également savoir comment aborder ces risques correctement. Grâce à notre formation anti-phishing, les employés peuvent apprendre à reconnaître et à traiter toutes sortes de cybermenaces. La Phished Academy contribue également à l'obtention de la norme ISO pour la formation permanente à la sécurité de l'information. Ainsi, vous pouvez rapidement encadrer ce certificat ISO et l'accrocher au mur.

Après avoir atténué les conséquences, il est temps de se tourner vers l'avenir : quelles mesures pouvez-vous prendre pour éviter que cette situation ne se reproduise à l'avenir ? La première étape, bien sûr, est de former votre personnel. En supposant que l'aspect technique soit en place, il est peut-être temps de renforcer l'aspect humain en leur fournissant les outils et les conseils nécessaires.

L'époque où les moyens techniques suffisaient à protéger une organisation est révolue. Aujourd'hui, il est nécessaire d'amener les connaissances et le comportement des employés au même niveau que les outils technologiques. Ce n'est qu'à cette condition qu'une entreprise sera pleinement protégée contre des menaces de plus en plus complexes.

Le commissaire de police Stijn De Ridder confirme ce que nous savons depuis longtemps chez Phished : tout le monde est vulnérable en matière d'hameçonnage. Comme il le dit lui-même :

« D'une part, je me demande comment il est possible qu'ils se produisent encore, mais d'autre part, je ne peux pas nier que de nombreuses campagnes d'hameçonnage sont réalisées de manière très professionnelle – que les criminels font plus que simplement ajouter un lien frauduleux sur lequel leurs victimes peuvent cliquer. Ils sont souvent en possession de données divulguées, de « pistes », qui les aident à préparer soigneusement leur attaque en fonction de leur victime spécifique. Puis ils les contactent par téléphone, se présentent comme un employé de banque, après quoi ils parviennent à voler des comptes bancaires entiers. Quand je lis ces histoires, je me dis parfois "cela pourrait m'arriver" ».

Ou, pour dire les choses plus crûment : « Les PDG qui déclarent n'avoir jamais été victimes d'une cyberattaque, ne sont tout simplement pas au courant. »

Retrouvez l'intégralité de l'interview du commissaire de police De Ridder ci-dessous.

Depuis la pandémie de COVID-19, les employés ont vu leur boîte à outils de travail à distance s'élargir considérablement. Du jour au lendemain, ils ont dû apprendre à gérer non seulement leur travail d'une manière complètement différente, mais aussi à l'exécuter. De nouveaux outils leur permettaient d'effectuer leur travail à domicile, mais souvent, ils ne recevaient pas les conseils ou la formation nécessaires pour les utiliser en toute sécurité.

Les gens peuvent ouvrir des portes dérobées sans le vouloir, ils peuvent introduire des menaces sur le réseau de l'entreprise sans même s'en rendre compte. Ou, comme l'a souligné Sabine van Hoijweghen de Secutec : « Les personnes qui n'utilisent pas leur ordinateur comme partie intégrante de leur travail sont souvent beaucoup plus vulnérables et ont donc besoin d'une formation supplémentaire. »

Intéressé par la sécurité informatique du point de vue d'un MSP ? Retrouvez notre interview de Van Hoijweghen ci-dessous.

Les connaissances générales sur les sujets de cybersécurité n'ont jamais été aussi élevées. Pourtant, les gens semblent avoir plus de difficultés que jamais à lutter réellement contre les menaces. D'une part, le simple volume des cyberattaques complique la lutte contre chaque tentative, mais d'autre part, quelque chose d'autre est en jeu : le fait que savoir ne signifie pas reconnaître.

Le paradoxe du hameçonnage signifie que si plus de gens que jamais connaissent le phénomène, ils ne savent pas toujours comment le reconnaître. Pour se prémunir contre l'hameçonnage – et les autres cybermenaces – il faut s'engager activement sur le sujet, se former et devenir plus compétent en la matière.

Et c'est le cas pour tout. Les cyber experts affirment souvent que les entreprises d'aujourd'hui ne sont pas prêtes pour ce qui les attendra dans cinq ans, mais j'ose dire qu'elles ne sont toujours pas prêtes pour les menaces d'il y a cinq ans. Il est grand temps que les gens mettent de l'ordre dans leurs connaissances, rafraîchissent leurs compétences et commencent à s'attaquer à leurs points faibles. Pour être prêt pour l'avenir, il faut d'abord être prêt à relever les défis d'aujourd'hui.

Découvrez plus d'informations sur les menaces d'aujourd'hui dans la vidéo ci-dessous.

Afin de minimiser les menaces aussi rapidement et efficacement que possible, les personnes doivent être formées aussi régulièrement que possible. Des recherches ont déjà montré que la formation à la cybersécurité perd de son efficacité après un mois. Après six mois, tout est complètement oublié, c'est pourquoi il est important de garder les gens sur le qui-vive. C'est ce que fait Phished grâce à des formations courtes, automatisées et personnalisées.

Nos simulations d'hameçonnage enseignent aux destinataires les bonnes réactions, tandis que la Phished Academy permet de comprendre l'importance, la reconnaissance et le traitement des menaces en quelques minutes seulement, et offre des centaines d'autres conseils sur un large éventail de questions de cybersécurité. Enfin, Phished veille à ce que les employés s'engagent dans la stratégie de cybersécurité de leur organisation. Des employés motivés et préparés constituent une organisation bien mieux protégée.

Heureusement, vous n'avez pas à nous croire sur parole : Voyez par vous-même lors d'une démonstration en direct.