Attaque de whaling : comment lutter contre la "chasse aux gros poissons" dans votre entreprise ?

Sans mesure de cybersécurité adéquate, une entreprise peut se retrouver victime d'une attaque de whaling. Elle risque gros, avec comme possibles répercussions des pertes financières, le vol de ses données clients ou des intrusions indésirables dans ses systèmes ou logiciels.

Pour le whaling, également appelé arnaque au président, chasse à la baleine ou au gros poisson en français, plusieurs approches sont possibles. On peut miser sur les techniques de prévention et de maintenance, mais aussi sur une meilleure connaissance des principes de base du whaling. On peut aussi chercher à comprendre quels sont les points communs et les différences entre ce type d’attaque et d’autres formes d’hameçonnage (phishing). 

Qu'est-ce que le whaling ?

Les attaques de whaling ciblent spécifiquement les dirigeants ayant un accès exclusif aux informations les plus protégées de leur entreprise. C’est la raison pour laquelle elles se généralisent. Pour mieux comprendre le danger que représente ce type d'attaque pour la cybersécurité, il nous faut répondre à quelques questions clés.

Whaling : quel mode opératoire ?

Le whaling est une forme d'hameçonnage où les criminels se font passer pour les hauts dirigeants d'une organisation dans le but d'obtenir de l'argent, des informations sur les clients et des identifiants confidentiels. L'e-mail, mais également les conversations téléphoniques, représente le principal vecteur d'attaque. Les gérants d'entreprises, les dirigeants et les collaborateurs stratégiques constituent des cibles de choix pour ce type de phishing.

Quelles sont les entreprises les plus visées ?

Les entreprises qui négligent leur sécurité en ligne et celles qui possèdent des données clients et des renseignements de valeur susceptibles d’être utilisés à des fins d’usurpation d'identité constituent souvent une cible de whaling privilégiée.

Dans le viseur des cybercriminels, on retrouve fréquemment des hôpitaux, des cabinets médicaux et d’autres entreprises de soins de santé. Mal dotées sur le plan financier, les infrastructures médicales n’ont généralement pas de budget à investir dans les logiciels et technologies de cybersécurité les plus en pointe. Elles en sont réduites à utiliser des systèmes d'exploitation maison obsolètes ainsi que des navigateurs peu sécurisés et faciles à infiltrer.

Le secteur médical n’est d’ailleurs pas le seul concerné. Les établissements financiers, services de paiement, entreprises de stockage dans le cloud, sites d'hébergement de fichiers, services en ligne et sites e-commerce sont également dans ligne de mire des professionnels des arnaques au président.

Pourquoi le whaling ?

Les cibles d’une attaque aux gros poissons exercent d’importantes responsabilités, inspirent confiance et possèdent un niveau d'accès élevé dans leur entreprise. Pour les cybercriminels, la perspective d'accéder à des milliers de données personnelles, d'informations de paiement ou de dossiers d'entreprise motive toutes leurs tentatives de gagner la confiance de ces personnes.

Whaling ou phishing, quelles différences ?

En plus du whaling, les entreprises doivent aussi être sur leurs gardes face au risque d’infiltration que pourraient poser d’autres attaques de phishing. La chasse à la baleine est une sous-catégorie d’hameçonnage. Les techniques utilisées sont similaires à celles employées dans d'autres attaques de phishing qui utilisent le numérique pour escroquer leurs victimes. La plus connue est l'e-mail d'arnaque envoyé en masse. Le destinataire reçoit un courrier électronique semblant provenir d'un expéditeur de confiance qui l'incite, par exemple, à se connecter à un site web ou à télécharger un malware.

Le vishing est une autre technique de phishing, mais par téléphone. Le malfaiteur demande à sa victime d'appeler un numéro, de saisir ses identifiants de compte, un code PIN, un numéro de sécurité sociale ou toute autre information personnelle pour des démarches officielles. L'attaque BEC (Business E-mail Compromise) ou fraude au CEO est une autre attaque qui cible spécifiquement des personnes et organisations de haut rang en compromettant la messagerie de l’entreprise.

Même si le mode opératoire de ces attaques s’appuie fréquemment sur l’usurpation d’e-mail, la duplication de site web et/ou des communications téléphoniques, les techniques employées dans les attaques de whaling sont plus sophistiquées. Face à de hauts dirigeants d'entreprises ayant réussi, il faut en général faire preuve d’une certaine force de persuasion pour qu’ils adhèrent au message. Généralement, les e-mails et/ou appels téléphoniques de whaling :

  • Contiennent des informations suffisamment personnalisées sur l'entreprise ou l'individu ciblé pour les convaincre que l'expéditeur est une personne qu'ils connaissent ;
  •  Véhiculent un sentiment d'urgence. Le message livre en général le moyen de résoudre cette situation d'urgence. Il peut s'agir d'effectuer un virement bancaire, de communiquer un mot de passe ou un identifiant de connexion à un logiciel.
  •  Manient avec assurance le jargon de l'entreprise et un ton professionnel qui confortent la victime dans l'idée qu’elle a affaire à un collaborateur haut placé, un directeur général, ou un dirigeant.

Trois moyens de protéger son entreprise du whaling

Il est important de mettre en œuvre des mesures pratiques pour protéger son entreprise des attaques de whaling. Voici trois moyens de protection possible :

1. Sauvegarder toutes ses informations importantes

La première étape pour préparer son entreprise à une cyberattaque est de s’organiser. On doit mettre en place un système de sauvegarde de toutes les informations importantes de l'entreprise. Cela permet non seulement d'agir en amont, pour prévenir les crises, mais l’entreprise pourra aussi limiter les dégâts en cas d'incident cyber avéré.

Les attaques de whaling peuvent par exemple avoir de lourdes conséquences financières. Un compte de résultats détaillé  permet à l’entreprise de surveiller de près ses finances et de repérer les écarts plus rapidement qu’avec des dossiers financiers peu précis, mal organisés et non sécurisés. Il peut également être utile de créer un plan d'intervention sur incidents en cas d'attaques de cybersécurité. Ainsi, lorsque l’on sera avisé d’une violation de données, l’on disposera de la procédure à suivre qui permettra au bout du compte d’éviter de subir d’énormes pertes de données et d'argent.

2. Former tous azimuts à la cybersécurité

Gérants, collaborateurs et dirigeants doivent être correctement sensibilisés et formés à la cybersécurité et aux rôles de chacun dans la prévention des violations. Devant la récente bascule d’ampleur des entreprises en télétravail, chacun doit, plus que jamais, être conscient du rôle qu'il peut jouer pour réduire les marges d'erreur qui favorisent le développement des menaces de cybersécurité.

Il est essentiel de former ses collaborateurs pour qu’ils sachent reconnaître les techniques d'ingénierie sociale. Il faut également leur rappeler de ne pas ouvrir les e-mails d'inconnus ; de ne cliquer sur aucun lien suspect et de n'ouvrir aucun document qui leur semble douteux. L’entreprise doit également étudier la possibilité d'organiser régulièrement des ateliers d'évaluation des menaces pour que ces menaces de cybersécurité n’aient plus aucun secret pour ses collaborateurs.

3. S’abstenir d'utiliser les réseaux et wifi publics

Les ordinateurs et les appareils connectés à un réseau public sont vulnérables aux cyberattaques. Les spywares (logiciels espions) qui enregistrent les frappes au clavier permettent aux cybercriminels d'accéder à toutes les informations de l'entreprise, toutes les données personnelles ou toutes les données clients confidentielles partagées sur ces réseaux.

Pour mieux protéger son entreprise, il est nécessaire de ne se connecter qu'à des réseaux sécurisés comme le wifi de son bureau ou de son domicile.

Le whaling est l'une des techniques de phishing les plus dangereuses pour une entreprise. Il est important d’investir dans des technologies de cybersécurité et de chiffrement de premier plan, de s’abstenir d'utiliser les réseaux de wifi publics, de sauvegarder toutes les informations importantes de l’entreprise et de former correctement son personnel à la cybersécurité. C’est en comprenant le whaling et en sachant le combattre que l’on contribuera le mieux au développement de son entreprise en ligne.