Méthodologie

Phishing : bonnes pratiques à partager pour se protéger

De la très petite entreprise au grand groupe, de la mairie à l’institution étatique, toutes les organisations peuvent être la cible de cyberattaques. Le phishing compte parmi les vecteurs d’attaque les plus courants, voyons quelques bonnes pratiques pour s’en protéger.
4 min

Phishing : définition 

Le phishing consiste pour les attaquants à envoyer un message contenant un lien, voire un QR code (on parle alors de Quishing), par e-mail ou par SMS (Smishing), menant à un site frauduleux. Le design est généralement copié de services habituellement utilisés par la victime, et une fois sur ce site frauduleux, elle est invitée à utiliser ses identifiants et mots de passe, ou renseigner données personnelles, que les attaquants vont pouvoir récupérer facilement. 

Le risque est partout, cette technique étant utilisé en masse par tous les types d’attaquants. Elle tend aussi à se développer sur mobile, une étude de Slashnet révélant que le Smishing représente 39% des menaces sur mobile en 2024. 

Sachant que plus de 70 % des employés admettent avoir un comportement à risque qui les rend vulnérables (étude de Proofpoint 2024), la vigilance et la sensibilisation restent cruciales ! 
Voici donc 5 bonnes pratiques à partager avec tous les utilisateurs d’un Système d’Information pour éviter de tomber dans le piège. 

5 réflexes à connaître pour éviter le phishing 

Le filtre antispam 

Un filtre anti-spam assure un premier niveau de tri pour écarter les messages identifiés comme frauduleux de la boîte de réception.  
Attention toutefois, c’est un outil qui ne dispense pas des réflexes de vérification que nous allons voir dans le point suivant. 

La vérification du contenu et de l’expéditeur du message

Par e-mail comme par SMS, les expéditeurs de messages frauduleux redoublent d’inventivité pour tromper leurs victimes... sans forcément passer par des techniques élaborées. 
Il est donc important de vérifier scrupuleusement l’expéditeur du message : son nom est-il connu et est-ce rigoureusement la bonne orthographe ? Le domaine de l’e-mail de réponse est-il connu et légitime ?  
Si un lien est présent dans le message, vers quelle URL dirige-t-il et est-ce un site légitime (à vérifier en passant dessus avec la souris, et non en cliquant dessus directement). 
Si c’est un e-mail avec une pièce-jointe, avant de l’ouvrir, un antivirus ou un scanner de courrier peuvent générer des notifications. 

L’antivirus

Un antivirus identifie et bloque les fichiers malveillants, et il peut notifier l’utilisateur en cas de doute sur la légitimité d’un fichier joint dans un e-mail (document, pdf...). 
Attention à ne pas se fier aux extensions et aux icônes qui peuvent être modifiées par l'attaquant pour tromper les victimes (c’est très souvent le cas pour du phishing). 

Il peut en outre inclure des fonctionnalités de scan de courrier électronique, qui lui permettent de détecter la présence de fichiers joints à un e-mail contenant un virus. 

Le gestionnaire de mots de passe 

Le coffre-fort, ou gestionnaire de mots de passe fait partie des outils de sécurité de base. Ils permettent d’enregistrer les mots de passe forts pour accéder aux services ou sites utilisés. De ce fait, ils peuvent donner de précieux indices sur les sites visités ! 
Comme nous l’avons vu plus tôt, avant de cliquer sur un lien, une vérification de l'URL vers laquelle il pointe s’impose. Si le lien prétend mener à un site ou un service connu et déjà utilisé, le gestionnaire de mots de passe préremplit les identifiants. Si ce n’est pas le cas, le site visité n’est probablement pas authentique. 

L’authentification multifactorielle 

Dans la panoplie des dispositifs de sécurité, chaque couche compte. Si un lien a été cliqué dans un e-mail ou un SMS frauduleux, et que les identifiants ont été renseignés sur le site malveillant... la double authentification (MFA) constitue un rempart supplémentaire. 
En effet, comme plusieurs formes d’authentifications sont requises, il ne suffira pas de l’identifiant et du mot de passe aux attaquants pour accéder au service qu’ils tentent d’infiltrer. 

Encore un doute malgré toutes ces précautions ? 

A la suite d’un message qui emble douteux, contacter l’expéditeur par un autre moyen (par téléphone, ou en envoyant un message) permet de valider la légitimité de la demande.
Prévenir l’équipe sécurité et la DSI permet aussi de prendre les mesures nécessaires pour renforcer la sécurité et limiter les risques.

Best practices against phishing

Et au-delà du phishing, quels sont les autres types de menaces
et comment vous en protéger ?