Spear phishing, phishing, ransomware : toutes des menaces et autant de techniques de défense à mettre en place

Extrêmement ciblées, les attaques de harponnage comme celles par ransomware peuvent s'avérer encore plus dangereuses que le traditionnel hameçonnage. Mais comment s'en prémunir ?

L’année 2021 aura marqué les esprits du fait du nombre sans cesse croissant d’attaques et surtout des multiples types de malware et de techniques employées et 2022 s’annonce similaire. Au fil des ans, les attaques par phishing sont devenues les préférées des cybercriminels, et les cybercriminels utilisent des courriels, sites web et textos trompeurs pour mettre la main sur de l’information personnelle ou d’entreprise. Récemment, le spear phishing a élevé d’un cran le niveau de danger de phishing en affinant les techniques employées. Et cela sans parler des attaques par rançongiciels qui se résument généralement au cryptage des fichiers du disque dur de l’ordinateur, suivi par une demande de rançon en échange d’une clé de cryptage détenue par les créateurs du virus et permettant de décrypter les fichiers.

Bien que, selon toute vraisemblance, la bataille contre ces attaques, de plus en plus nombreuses et sophistiquées à la fois ne sera jamais totalement gagnée, des changements de comportements au sein des entreprises peuvent aider à en diminuer l’ampleur et la fréquence.

Traiter le sujet de la sécurité informatique à la source : la connaissance

Chaque jour, les actualités font état de nouvelles cyberattaques malgré des solutions de protection de plus en plus sophistiquées et la récupération des données comme la limitation des pertes (financières, réputationnelles) ne semble toujours pas chose aisée. Si les experts du secteur ont précisé avoir augmenté les investissements sur tous les postes : 36% des répondants du dernier baromètre du CESIN ont ainsi annoncé que leurs budgets étaient en croissance de 5 à 10% en 2021, soit + 10% par rapport à 2020. Pour aller plus loin, la simulation de situations de crise, pour sensibiliser à la cybersécurité et aux bons gestes a été mise en place chez 40% des entreprises participantes et 70% d’entre eux ont également sensibilisé leurs équipes aux risques du télétravail, des chiffres qui marquent réellement la nécessité d’entraîner et de sensibiliser les collaborateurs aux risques cybers.  

Et ce d’autant plus que plus de la moitié des répondants (54%) ont annoncé avoir subi entre une et trois attaques au cours de l’année passée, soit une baisse légère de 3 points par rapport à 2020. Les efforts de chacun payent dans cette lutte contre la cybercriminalité et la sensibilisation ne doit plus être une mesure parmi d’autres mais bien le point de départ de toute politique de défense contre les cyberattaques. La dernière campagne de simulation d’attaques par phishing de Terranova Security le prouve d’ailleurs : près d’1 utilisateur sur 5 (19,8%) ciblé par le courrier malveillant a cliqué sur le lien, conduisant au téléchargement du malware. Des chiffres qui ont pourtant été observés pendant le mois international de la sensibilisation à la cybersécurité et qui s’avèrent bien plus haut dans des secteurs critiques tels que l’éducation, la bancassurance ou encore les entreprises de la Tech.

Sept façons de se protéger contre les cybermenaces

Bien que les dangers soient réels et complexes, il existe plusieurs façons pour les entreprises de limiter le risque :

  • Éduquer, éduquer, éduquer. Comme énoncé plus haut, la méconnaissance des risques peut être source d’erreurs. Eduquer et sensibiliser les collaborateurs est essentiel et il est également utile de déployer des outils de simulations d’attaques de phishing pour les former à identifier toutes les menaces.
  • Suivre et mesurer les résultats. Responsabiliser les experts en sécurité et les cyberhéros de l’entreprise est essentiel pour qu’ils prennent part à la mission de sensibilisation du reste de l’entreprise. Vérifier régulièrement le niveau de sensibilisation des employés avec des outils de simulation d’attaques. Définir des indicateurs pour mesurer à quel point ces initiatives éducatives suscitent les changements de comportements.
  • Investir pour convaincre. Déployer une campagne de sensibilisation dans l’entreprise est le meilleur moyen pour informer en continu sur la cybersécurité, le spear phishing et l’ingénierie sociale. Il est important d’ajouter de la pédagogie pour que les politiques sur les mots de passe et les gestes informatiques essentiels soient retenus et respectés.
  • Limiter les accès. La nouvelle ère du PAP (prenez vos appareils personnels) exige l’établissement de règles d’accès aux réseaux pour limiter l’usage des appareils personnels et le partage d’information hors du réseau d’entreprise.
  • Maintenir à jour les correctifs pour plus de sécurité. Il est essentiel de s’assurer que tous les logiciels internes, outils réseau, systèmes d’exploitation et applications sont à jour et sécurisés. Pour ce faire, l’entreprise peut déployer des logiciels de protection contre les malwares et les pourriels.
  • Enfin, instaurer une culture de sécurité. L’acculturation de l’entreprise dans son intégralité à la sécurité informatique est la clé du succès, et cela passe par la mise en place de procédures strictes et de pratiques à suivre, un processus de sensibilisation des dirigeants, de gestion du changement et de soutien à tous.

Somme toute, malgré les différences fondamentales entre ces types de malwares et de techniques d’attaques, la solution est la même : sensibiliser, simuler, protéger, veiller, analyser, prôner une culture de la sécurité.