Les attaques de phishing (ou hameçonnage) constituent un défi de longue date pour la cybersécurité des organisations ; aujourd'hui, elles sont responsables de plus de 80 % des incidents de sécurité signalés. Selon le rapport de CISCO sur les tendances 2021 en matière de menaces pour la cybersécurité, près de 90 % des violations de données sont dues au phishing. Le spear phishing, consistant à envoyer des e-mails qui semblent provenir d'un expéditeur de confiance afin d'inciter les cibles à révéler des informations confidentielles, est le type d'attaque de phishing le plus courant. Il représente 65 % de toutes les attaques de phishing.
L'une des raisons de la prolifération de ces attaques est peut-être que les campagnes de phishing sont relativement faciles et peu coûteuses à mener grâce à l'automatisation (par exemple, en utilisant une plateforme de phishing-as-a service telle que Caffeine). Pour l’heure, le spear phishing peut nécessiter une intervention manuelle, mais devient plus facile avec l'abondance de données personnelles disponibles publiquement. A l’avenir, l’on peut s’attendre à l’émergence de campagnes de spear phishing automatisées et personnalisées, pilotées par l'IA (intelligence artificielle).
Une attaque de phishing réussie peut aboutir à la récupération de données personnelles, au déploiement de logiciels malveillants ou à l'obtention d'un accès à distance. Face à ces intrusions non sollicitées, les organisations ont tout intérêt à apprendre comment se protéger d'une attaque de phishing. Plusieurs techniques existent et peuvent être envisagées par les organisations.
Avant toute chose, les organisations devraient sécuriser la configuration de leur solution de messagerie, à l’aide des protocoles SPF, DKIM, DMARC et SID, afin de bloquer les e-mails reçus de sources inconnues ou suspectes. En outre, il est conseillé de mettre en œuvre une solution de protection contre les menaces par courrier électronique dotée de fonctions telles que le filtrage du spam, l'analyse des liens, le sandboxing des pièces jointes et le blocage des types de pièces jointes malveillantes les plus courants (HTA, docm, xlsm, exe, PS1, VBS, js, etc.).
Il conviendrait aussi d’apprendre ses employés à détecter les domaines usurpés dans les sites Internet et les adresses électroniques par le biais d'une sensibilisation à la sécurité et d'une formation anti-hameçonnage. L'usurpation de domaine est une forme de phishing dans laquelle un cybercriminel crée un faux site Internet ou une fausse adresse électronique afin de se faire passer pour une entreprise ou un individu de confiance. En général, le domaine semble légitime à première vue, et les différences peuvent être très subtiles et difficiles à repérer (un W qui est en fait deux V, un R et un N minuscules imitant un M, ou un L minuscule qui est en fait un I majuscule).
Un autre nom de domaine susceptible de tromper les employés pourrait être https://beazley.changepassword.com. En fait, il s'agit ici d'un sous-domaine qui appartient à changepassword.com et non à Beazley.com. En revanche, https://subscribe.beazley.com est bien un nom de sous-domaine qui appartient à Beazley.com. Cela peut être contre-intuitif, car nous sommes habitués à lire les phrases de gauche à droite, mais les sites Internet et les noms de domaine doivent être lus de droite à gauche.
Les cibles peuvent être amenées à révéler des informations sensibles, à envoyer leur mot de passe (et potentiellement leur jeton MFA), à envoyer de l'argent ou à cliquer sur des liens malveillants sans se rendre compte qu'elles interagissent avec une entité inconnue et/ou qu'elles téléchargent un fichier malveillant.
Au-delà des actions de sensibilisation des employés à la menace, l'ajout de l'en-tête "[Externe]" pour les e-mails reçus d'adresses électroniques externes peut aider à rappeler aux employés d'être plus vigilants quant aux adresses électroniques potentiellement usurpées.
Une organisation peut donc s'armer contre les attaques de phishing en assumant de manière proactive la responsabilité de la sécurité de ses opérations et des données de ses utilisateurs. Comme les techniques et les protocoles de prévention changent fréquemment, la formation continue et la réévaluation fréquente des procédures de sécurité sont souvent ses meilleures défenses.
Client Experience Manager
Jad Nehmé est responsable Cyberservices au sein de l'équipe Cyberservices de Beazley – international et est basé en France.
Il accompagne les clients de Beazley lors d'un incident de cybersécurité ou d'une violation de données. Il assiste également les clients dans la gestion des risques liés à la confidentialité et à la cybersécurité ainsi que lors des contrôles préventifs.
Les opinions exprimées ici sont celles de l'auteur.