E-mail marketing & phishing : ne naviguez plus en eaux troubles !

La France est dans le Top 10 des pays les plus touchés par des attaques de phishing. Quels sont les risques pour les entreprises et comment lutter efficacement contre ce fléau de nos boîtes e-mails ?

Si le grand public est aujourd’hui assez bien averti des risques de phishing, cette cybermenace n’a pourtant jamais autant pesé sur la sécurité de leurs boîtes e-mail et leurs données personnelles. Les cibles ne sont plus les mêmes qu’avant, et les techniques utilisées par les cybercriminels sont des plus sophistiquées, pour ressembler le plus possible aux e-mails d’une institution légitime, comme une banque, un site de paiement en ligne, un réseau social ou même le service des impôts… Il devient donc beaucoup plus difficile pour les usagers de l’e-mail de détecter des attaques de phishing.

Selon la dernière étude Phishing Activity Trends Report publiée par l’APWG (Anti-Phishing Working Group) en février 2014, le nombre d’attaques de phishing a ainsi battu tous les records en fin d’année dernière, affichant une croissance de plus de 20 % ! Pour avoir une idée plus précise de ce que cela représente, sachez qu’en septembre de l’année dernière, 62 sites de phishing ont été mis en ligne toutes les heures, ce qui revient à un peu plus d’un nouveau site par minute. Bref, la probabilité d’être pris au piège est très élevée ! Un internaute sur deux reçoit aujourd’hui un message de phishing par jour, et 50 % de ces messages sont ouverts en moyenne…
Côté annonceurs, le constat n’est pas plus encourageant, dans la mesure où les conséquences financières du phishing sont largement sous-estimées par les entreprises qui en sont victimes.
Le coût du phishing pour les entreprises au niveau mondial représenterait près de 6 milliards de dollars selon le RSA Monthly Fraud Report publié en janvier 2014. Et comme si cela ne suffisait pas, les coûts associés aux attaques sont à la fois directs et indirects. Ces derniers étant très difficiles à évaluer car l’on parle de perte de confiance vis-à-vis de la marque usurpée et d’impact négatif sur sa réputation et son image de marque.
Face à une telle intensification du phishing, de nombreuses initiatives ont été lancées par des entreprises et associations d’envergure internationale pour aider les marques à prendre des mesures pour mieux se protéger contre les attaques malveillantes. M3AAWG (Messaging, Malware & Mobile Anti-Abuse Working Group), OTA (Online Trust Alliance), APWG (Anti-Phishing Work Group), DMARC.org (Domain-based Message Authentication, Reporting and Conformance)… Ces initiatives permettent d’aider les annonceurs et les opérateurs de messagerie à faire en sorte que le canal e-mail soit le plus appréciable et efficace possible, en définissant par exemple de nouveaux protocoles d’authentification standards pour notre profession. En agissant de concert, ils s’efforcent d’œuvrer à préserver un écosystème e-mail fiable et sécurisé.
Au-delà de ces initiatives globales, il est important de comprendre que chaque marque peut agir à son niveau. Jusqu’à très récemment, les entreprises avaient une approche réactive vis-à-vis des menaces véhiculées par la messagerie. Il est heureusement possible aujourd’hui de se prémunir contre ces menaces. Et tout le monde est concerné. Car si le phishing continue à progresser, il y a fort à parier qu’aucune entreprise possédant une activité en ligne ne sera épargnée à l’avenir. Ce phénomène est tout particulièrement alarmant pour les entreprises uniquement présentes sur Internet et qui dépendent fortement de l’e-mail marketing pour générer des revenus et améliorer la notoriété de leur marque auprès de leurs clients.
Face à un tel phénomène et pour protéger leurs marques, les annonceurs se doivent d’appliquer certaines mesures concrètes au premier rang desquelles la mise en place d’un inventaire exhaustif de leurs domaines, qui consiste à répertorier tous les domaines enregistrés par une entreprise et à identifier parmi cette liste le ou les domaines à l’origine du trafic Internet et ceux utilisés à des fins d’e-mail marketing. Authentifier ses e-mails est également une priorité. Les méthodes d’authentification SPF et DKIM sont notamment applicables à tous les flux de messages sortants pour faciliter l’identification des expéditeurs. Enfin, nous recommandons la publication d’un enregistrement DMARC, protocole développé conjointement par Microsoft, Google, Yahoo!, Return Path et d’autres sociétés. Relativement simple et peu coûteux à mettre en œuvre, ce protocole d’échange permet, entre autres, aux annonceurs d’accroitre la visibilité sur leur trafic e-mail et d’indiquer aux webmails et opérateurs de messagerie la manière dont les e-mails doivent être traités par ces derniers  lorsqu’ils ne sont pas correctement authentifiés.
Autre point clé dans la lutte contre le phishing : la mobilisation des équipes concernées au sein des entreprises qui en sont victimes. Les entreprises tendent en effet à déléguer au seul RSSI la réponse à ces attaques, n'impliquant pas suffisamment les équipes marketing/communication et juridique.
Or l'impact des attaques de phishing dépasse les frontières d'un seul département. Une collaboration active de ces départements s'impose pour faire face aux cybercriminels qui s'efforcent d'usurper l'identité des marques pour abuser de la confiance de leurs abonnés et clients. Le moment est venu de ne plus travailler en mode silo mais au contraire de mobiliser les expertises pour établir une véritable ligne de défense visant à se protéger contre les effets induits des attaques malicieuses et autres pratiques frauduleuses en vogue.

Phishing / RSSI