Comment les PME et ETI peuvent-elles se protéger contre les nouvelles techniques de phishing en 2024 ?

Selon le rapport de Cybermalveillance.gouv.fr, le phishing évolue rapidement et est devenu une menace ciblée envers les entreprises et associations.

Les petites et moyennes entreprises (PME) ont vu une augmentation significative des recherches d'assistance pour le phishing en 2022, plus que doublant par rapport à l'année précédente.

Cette tendance est d'autant plus alarmante que le spear phishing, une forme de cyberattaque personnalisée et directe, constitue à présent 65% de l'ensemble des tentatives de phishing. En effet, le phishing est présent partout, même chez les géants comme Microsoft 365.

Quelles sont les nouvelles techniques de phishing ?

Le phishing se sophistique et ses techniques se multiplient.

•    Le phishing hyper-ciblé : Les pirates apprennent un maximum sur leurs victimes pour créer des échanges réalistes et voler des informations sensibles aux entreprises. Cette technique se rapproche de l’ingénierie sociale, par sa capacité de manipulation subtile.

•    Le deepfake et le phishing vocal : Les cybercriminels font preuve de créativité et vont au-delà des emails ou appels frauduleux. Aujourd’hui, la plupart des deepfakes utilisent le format vidéo (58%), plus que l’audio (42%).

•    Le phishing via des appareils connectés (IoT) : Chaque appareil IoT est un point d'entrée pour les attaques de phishing. 30 % de ces attaques en 2023 ciblaient des appareils connectés pouvant être compromis pour accéder à des réseaux domestiques ou d’entreprises.

Quelles sont les conséquences du phishing avancé pour les PME et ETI ?

En effet, il existe plusieurs facteurs de risques spécifiques.

•    Pertes financières : Le problème majeur des cyberattaques, peu importe la taille de l’entreprise, est son coût invisible.

•    Impact sur la réputation de l’entreprise : Une attaque de phishing réussie peut sérieusement ternir la réputation d'une PME ou d'une ETI, entraînant une perte de confiance de la part des clients, des partenaires et du marché en général.

•    Interruption des opérations commerciales : Un ransomware peut être déclenché via une attaque de phishing et entraîner des amendes accablantes à l’organisation ciblée.

Par exemple, en 2023 une ETI européenne a subi une attaque de spear phishing, où un email apparemment envoyé par le directeur général demandait un virement urgent. Heureusement, grâce à une formation récente des employés, le destinataire a identifié des signes suspects et a vérifié l'email, évitant ainsi une perte financière significative.

Cela permet de prouver que les entreprises ayant mis en place des formations régulières sur la cybersécurité réduisent les risques de phishing de 70%.

Comment protéger son entreprise des attaques par phishing ?

Pour protéger votre messagerie contre les nouvelles techniques de phishing, il est crucial de mettre en place des politiques de sécurité strictes.

En effet, cela concerne la formation et la sensibilisation de vos collaborateurs. Il est important de connaître la menace pour pouvoir la contrer. Ainsi, enseigner vos collaborateurs à analyser les emails reçus (destinataires, copies, pièces jointes…) est plus que nécessaire.

Voici quelques conseils pour renforcer la sécurité de votre organisation contre l’escroquerie de ces attaquants.

1.    Filtrage des e-mails : sécurisez la messagerie de votre entreprise en détectant et en bloquant les menaces possibles comme le phishing et le spear phishing grâce à un logiciel anti-phishing.

2.    Vérification des liens et des adresses IP : assurez-vous que ces liens ne soient pas frauduleux (redirection vers des sites web escrocs, téléchargement de logiciels malveillants, fausses images infectées…).

3.    Mise en place de l’authentification DMARC pour renforcer la cybersécurité.

La priorité de votre organisation doit être de toujours rester attentif. Il est préférable de s’abstenir d’ouvrir un message si vous n’êtes pas sûr de sa provenance. La protection contre les e-mails de phishing est un effort continu, nécessitant à la fois des technologies avancées et une vigilance constante de la part de votre équipe et collaborateurs. La sensibilisation et la vigilance restent essentielles pour prévenir les attaques de phishing et sécuriser les environnements de messagerie.