Hameçonnage : Guide pratique sur la cybersécurité en entreprise

Qu’est-ce que l’hameçonnage ?

L’hameçonnage est un type de cyberattaque dans lequel des personnes malintentionnées se font passer pour des entités de confiance, telles que des entreprises ou des membres connus au sein de votre entreprise, afin d’inciter les victimes à révéler des informations sensibles, telles que des mots de passe, des données financières ou des identifiants de connexion. L’hameçonnage s’effectue généralement par e-mail, mais peut également se produire par SMS, via les réseaux sociaux et d’autres canaux de communication.

Les e-mails d’hameçonnage demeurent le moyen le plus utilisé pour les violations de données d’entreprise, la fraude à la carte de crédit et l’usurpation d’identité. Un clic imprudent sur un lien malveillant contenu dans un faux e-mail par un seul employé peut mettre à mal l’ensemble du système d’une entreprise, exposant ainsi les entreprises et les consommateurs à des risques. Le risque d’atteinte à l’image publique est élevé, et avec des politiques telles que le règlement général sur la protection des données (RGPD) de l’Union européenne, les poursuites judiciaires et les amendes sont également une réalité.

Malheureusement, ces escroqueries deviennent chaque année plus innovantes, plus coûteuses et plus difficiles à détecter. Les entreprises sont tenues de remédier aux violations et de rétablir leur image. Les e-mails d’hameçonnage et ses équivalents sur les réseaux sociaux, les sites Web et dans les messages électroniques constituent sans doute la plus grande menace pour la sécurité des marques et des entreprises à l’heure actuelle.

Types d’attaques par hameçonnage

Les attaques par hameçonnage se présentent sous différentes formes, chacune ciblant différemment les particuliers et les entreprises. Voici les formes les plus courantes.

• L’hameçonnage par e-mail : forme d’hameçonnage la plus répandue qui consiste à envoyer des e-mails frauduleux à un grand nombre de destinataires dans le but de les inciter à cliquer sur des liens ou des pièces jointes malveillants.
• L’hameçonnage ciblé : à la différence de l’hameçonnage par e-mail, l’hameçonnage ciblé vise des personnes ou des entreprises spécifiques, en utilisant des informations personnalisées pour augmenter ses chances de réussite.
• Le whaling : cette forme d’hameçonnage cible les cadres supérieurs ou les personnes occupant des postes à responsabilité au sein d’une organisation, dans le but de voler des données sensibles ou d’accéder à des systèmes fondamentaux.
• La compromission des e-mails professionnels (BEC) : au lieu de cibler les cadres supérieurs, la BEC usurpe généralement l’identité d’un cadre supérieur ou d’un partenaire commercial afin de tromper les employés et les inciter à révéler des informations sensibles ou à effectuer des actions telles que des transferts de fonds.
• Le smishing (hameçonnage par SMS) : type d’hameçonnage par SMS qui consite à envoyer des messages contenant des liens malveillants ou des demandes d’informations confidentielles.
• Le vishing : hameçonnage par téléphone, où les cybercriminels se font passer pour des entités de confiance afin de recueillir des informations personnelles ou financières.

Les attaques par hameçonnage ciblé (spear phishing), le whaling et la compromission des e-mails professionnels (BEC) sont particulièrement redoutables pour les entreprises car elles reposent sur une tromperie adaptée aux fonctions et aux responsabilités de chacun au sein d’une entreprise. Les attaques par hameçonnage ciblé (spear phishing) utilisent des données personnelles pour renforcer la crédibilité, compliquant ainsi la tâche des employés qui doivent reconnaître les e-mails frauduleux. Le whaling va encore plus loin en ciblant les cadres et les décideurs, souvent en se faisant passer pour des collègues ou des partenaires commerciaux afin de les manipuler et les inciter à partager des données confidentielles ou à approuver des transactions financières. Le BEC est une autre tactique avancée au cours de laquelle les escrocs détournent ou usurpent des comptes de messagerie professionnels afin d’inciter les employés à effectuer des virements bancaires, à modifier des informations de paiement ou à divulguer des informations sensibles sur l’entreprise. Ces menaces soulignent la nécessité de mettre en place une stratégie rigoureuse en matière de sécurité des e-mails, de formation des employés et de mesures d’authentification afin d’éviter des infractions coûteuses.

Les maliciels et rançongiciels dans les attaques par hameçonnage

Les attaques par hameçonnage ne visent pas seulement à subtiliser des informations personnelles ; elles constituent également un vecteur courant de propagation de maliciels et de rançongiciels. Une fois que la victime clique sur un lien malveillant ou télécharge un fichier frauduleux, le maliciel s’installe sur son système et peut ainsi permettre aux cybercriminels d’accéder à des données sensibles. Il peut également entraîner l’installation d’un rançongiciel qui crypte les fichiers de la victime pour ainsi permettre aux cybercriminels d’exiger le versement d’une rançon élevée en contrepartie de leur restitution.

L’intelligence artificielle (IA) et l’hameçonnage

L’IA bouleverse le paysage des attaques par hameçonnage. Celles-ci deviennent plus sophistiquées et plus difficiles à détecter. Les campagnes d’hameçonnage assistées par l’IA peuvent :

Automatiser la personnalisation : l’IA est capable de recueillir des informations disponibles publiquement sur des cibles potentielles dans le but de créer des messages d’hameçonnage plus convaincants et personnalisés, adaptés à des individus ou à des entreprises.

Imiter des sources fiables : grâce au traitement du langage naturel (NLP), l’IA peut générer des messages d’hameçonnage qui imitent fidèlement le ton, le langage et le style des communications légitimes des entreprises, ce qui rend leur détection encore plus difficile. Par exemple, l’IA peut réduire les erreurs grammaticales et les formulations maladroites, qui étaient autrefois des indices courants de communications suspectes.

Lancer des attaques à grande échelle : l’IA permet aux cybercriminels de lancer des campagnes d’hameçonnage à grande échelle, en automatisant le processus de création et de distribution de messages frauduleux tout en augmentant les chances de succès.

En résumé, l’IA augmente à la fois la quantité et la qualité des tentatives d’hameçonnage.

L’impact de l’hameçonnage sur les entreprises

Les attaques par hameçonnage représentent un risque important pour les grandes entreprises et peuvent mener à de lourdes conséquences financières, opérationnelles et réglementaires. Les cybercriminels utilisent cette technique comme point d’entrée pour mener des cyberattaques à plus grande échelle, exploitant les réseaux d’entreprise, les chaînes d’approvisionnement et les communications des dirigeants. Les principaux risques sont les suivants :

• Violations de données et non-respect des réglementations : La technique de l’hameçonnage constitue un point d’entrée fréquent pour les violations de données, exposant ainsi les donnnées sensibles relatives à la clientèle, aux employés ou à la propriété intellectuelle (PI). Les entreprises soumises à des réglementations telles que le RGPD, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et les lois spécifiques à leur secteur d’activité peuvent être confrontées à des amendes substantielles et à des responsabilités juridiques.
• Fraude financière de grande ampleur : Des tactiques d’hameçonnage sophistiquées, notamment l’escroquerie aux faux ordres de virement (FOVI ou BEC), ont conduit les entreprises à perdre des millions de dollars par le biais de virements bancaires frauduleux, d’escroqueries aux factures et de détournements de salaires.
• Vulnérabilités de la chaîne d’approvisionnement : Les escrocs utilisent souvent la technique de l’hameçonnage pour cibler les fournisseurs, les prestataires ou les prestataires de services tiers, créant ainsi des failles de sécurité qui affectent plusieurs entreprises de la chaîne d’approvisionnement.
• Atteinte à l’image de marque et à la réputation : Une infiltration réussie peut gravement nuire à la réputation de votre entreprise, entraînant une perte de confiance de la part des clients, des partenaires et des investisseurs.
• Perturbation des opérations : L’accès aux systèmes internes par hameçonnage peut permettre aux attaquants de déployer des rançongiciels, de dérober des identifiants ou de manipuler des processus internes, entraînant des temps d’arrêt et des interruptions d’activité.

Comment empêcher les attaques par hameçonnage ?

Les entreprises doivent prendre les mesures suivantes pour empêcher les tentatives d’hameçonnage.

Formation des employés à la cybersécurité

Il est primordial de sensibiliser les employés à l’hameçonnage et à la manière de repérer les e-mails, les liens et les communications suspects. Cette sensibilisation peut être renforcée par des sessions de formation régulières et des simulations d’hameçonnage. Sensibiliser les employés à la nécessité de se méfier de l’hameçonnage est un bon début, mais la protection, la détection et la préservation des actifs numériques requièrent une stratégie efficace et une exécution sans faille.

Mises à jour régulières des logiciels

Veillez à ce que vos systèmes, notamment les clients de messagerie électronique et les logiciels antivirus, soient régulièrement mis à jour afin de vous protéger contre les vulnérabilités connues que les auteurs d’attaques par hameçonnage pourraient exploiter.

Authentification multifacteur (MFA)

L’activation de l’authentification multifacteur (MFA) sur l’ensemble des comptes de l’entreprise ajoute une couche de protection supplémentaire. Même en cas de compromission de mot de passe, la MFA entrave l’accès aux auteurs d’attaques.

Filtrage et authentification des e-mails

Déployez des solutions avancées de filtrage des e-mails pour détecter et bloquer les e-mails d’hameçonnage. Adoptez des mesures anti-usurpation d’identité telles que la norme Sender Policy Framework (SPF), et les protocoles DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting and Conformance (DMARC) afin d’empêcher les cybercriminels d’usurper votre nom de domaine.

SPF, DKIM et DMARC

La norme SPF est un mécanisme de sécurité des e-mails qui permet au propriétaire de domaine de spécifier quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de ce domaine. En répertoriant les adresses IP (Internet Protocol) autorisées dans les enregistrements du système de noms de domaine (DNS), le SPF aide les serveurs de messagerie destinataires à vérifier que les e-mails entrants prétendument envoyés depuis un domaine spécifique proviennent bien de serveurs légitimes. Si un e-mail est envoyé à partir d’un serveur non autorisé, il est signalé comme potentiellement malveillant.

• Fonctionnement : Lorsqu’un e-mail est reçu, le serveur du destinataire vérifie l’enregistrement SPF du domaine dans l’adresse de l’expéditeur. Si l’e-mail est envoyé à partir d’une adresse IP non répertoriée dans l’enregistrement SPF, le serveur peut rejeter ou marquer l’e-mail comme spam.

Le protocole DKIM est une autre norme de vérification des e-mails qui permet à un domaine de s’associer à un message en utilisant une signature numérique. Cette signature est ajoutée à l’en-tête de l’e-mail et peut être vérifiée par le serveur de messagerie du destinataire à l’aide de la clé publique publiée dans les enregistrements DNS de l’expéditeur. Le protocole DKIM s’assure que l’e-mail n’a pas été modifié pendant la transmission et confirme qu’il provient bien de l’expéditeur déclaré.

• Fonctionnement : Lorsqu’un e-mail est envoyé, DKIM ajoute une signature cryptographique à l’en-tête du message. Le serveur du destinataire utilise la clé publique des enregistrements DNS de l’expéditeur pour déchiffrer la signature et vérifier l’authenticité du message. Si la signature correspond, l’e-mail est considéré comme fiable.

Le protocole DMARC s’appuie sur les protocoles SPF et DKIM auxquels il ajoute une couche de mesures politiques et de reporting. DMARC permet au propriétaire de noms de domaine de spécifier comment les serveurs de messagerie doivent traiter les messages qui échouent aux vérifications SPF ou DKIM. Il fournit également un mécanisme de signalement qui permet aux propriétaires de noms de domaine de savoir si ceux-ci sont utilisés à des fins frauduleuses. Les politiques DMARC peuvent être configurées de façon à surveiller, mettre en quarantaine ou rejeter les e-mails non autorisés.

• Fonctionnement : En cas d’échec de la validation SPF ou DKIM d’un e-mail, le serveur destinataire vérifie la politique DMARC du nom de domaine afin de déterminer l’action à entreprendre : livrer le message, l’envoyer dans les spams ou le rejeter complètement. DMARC fournit également aux propriétaires de noms de domaine des rapports sur les e-mails envoyés en son nom pour ainsi contribuer à détecter et à limiter les tentatives d’hameçonnage.

Protéger votre entreprise contre les attaques par hameçonnage

Notre solution anti-hameçonnage offre aux entreprises une défense sur mesure contre les menaces d’hameçonnage, en leur fournissant une vue d’ensemble complète des risques d’hameçonnage auxquels elles sont exposées. Notre équipe expérimentée du centre des opérations de sécurité (SOC) évalue les menaces, identifie les tendances et les anomalies tout en collectant des données d’analyse. Une fois qu’une attaque par hameçonnage a été traitée, une veille continue permet de s’assurer que les sites frauduleux ne sont pas réactivés.

Nos services de suppression des atteintes à la marque et des hameçonnages interviennent rapidement contre les menaces d’hameçonnage qui ciblent votre marque. Nous procédons au blocage des sites Web grâce à notre réseau international de contacts dans les milieux juridiques, gouvernementaux et des fournisseurs de services Internet (FAI). Notre équipe interne chargée de la protection des droits sur la propriété intellectuelle œuvre à la récupération des noms de domaine compromis, tandis que nous collaborons avec les réseaux sociaux, les moteurs de recherche et les marchés en ligne en vue de supprimer les contenus illicites. Une analyse des causes en profondeur et la récupération des données facilitent les recherches, tandis que la veille continue permet d’empêcher la réapparition des sites d’hameçonnage.

La solution Domaincasting^SM, optimisée par notre plateforme DomainSec^SM, est le plus grand réseau de blocage numérique sur Internet, et fournit des renseignements sur les menaces en temps réel. Elle recueille les données d’hameçonnage et de cybermenaces émanant des FAI mondiaux, des fournisseurs de sécurité, des entreprises de télécommunications, des registrars et des services répressifs. Grâce à sa technologie de recherche approfondie reposant sur le « machine learning » (Machine Learning Deep Search, MLDS), Domaincasting détecte les noms de domaine suspects au-delà des simples techniques de typosquatting pour ainsi aider les entreprises à atténuer les risques rapidement et efficacement.