Risque cybersécurité pour les entreprises, notre guide

Le risque cyber au regard de l’environnement géopolitique

Nous faisons face à de nombreuses tensions géopolitiques, dont les effets sur la cybersécurité sont à anticiper. Quelle que soit l’activité de votre entreprise, nul n’est épargné par le risque cyber au regard du contexte international.

Nous attirons donc votre attention sur la nécessité de renforcer votre vigilance et de mettre en œuvre des mesures de cybersécurité pour garantir la protection de votre entreprise.

Les différents risques de fraude

Au-delà du renforcement de la sécurité il est important de connaître les méthodes des pirates et fraudeurs. De nos jours les techniques de fraudes sont nombreuses et diversifiées, dans cet article nous listons les principales d’entre-elles.

1. Bonnes pratiques de Cybersécurité

Les 5 mesures cyber-préventives prioritaires de l’ANSSI

L’Agence de cybersécurité civile française (ANSSI) incite les entreprises à mettre en œuvre les 5 mesures préventives prioritaires ci-dessous afin de limiter la probabilité d’une cyberattaque ainsi que ses potentiels impacts :

1. Renforcer l’authentification sur les systèmes d’information
2. Accroître la supervision de sécurité
3. Sauvegarder hors-ligne les données et les applications critiques
4. Établir une liste priorisée des services numériques critiques de l’entité
5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque

Nous vous invitons à télécharger le support publié sur le site de l’ANSSI ci-après : https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf

 

Alertes et avis de sécurité émis par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR)

L’ANSSI préconise également de consulter régulièrement et attentivement les avis de sécurité émis par le CERT-FR afin de prévenir d’un éventuel danger : https://www.cert.ssi.gouv.fr/

 

Guide d’hygiène informatique de l’ANSSI

Pour aller plus loin, il est recommandé de vous assurer de la bonne mise en place des mesures de sécurité présentées dans le guide d’hygiène informatique de l’ANSSI pour renforcer la sécurité de votre système d’information.

 

Bons réflexes pour se prémunir du phishing

Le phishing (ou hameçonnage) consiste à escroquer en ligne en envoyant de faux courriels imitant ceux d’une institution ou entreprise et semblant provenir d’une source fiable.

Pour vous prémunir de ce type de campagne d’attaques, il est recommandé de redoubler d’attention pour avoir un comportement responsable et avisé. Il s’agit en effet de faire preuve de bon sens, garder un esprit critique, ne jamais se précipiter, et prendre toujours le temps de la réflexion en cas de réception de courriel douteux.

Les réflexes incontournables à adopter pour protéger son système d’information d’une éventuelle attaque :

	N’ouvrez pas les courriels dont vous n’êtes pas certain de l’expéditeur. Vérifiez l’adresse d’envoie.		Utilisez un antivirus et un antispam, maintenez vos systèmes et applications à jour.
	Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (surtout sans cliquer).		Utilisez des mots de passe différents et complexes pour chaque site et application.
	Ne communiquez jamais d’informations sensibles.		Sensibilisez vos collaborateurs pour qu’ils aient un comportement avisé et responsable.
	Prudence en cas de message inhabituel mettant en doute l’origine réelle du courriel… Et en cas de doute, faites un contre-appel.		Évitez l’ouverture de pièces-jointes.

La cybersécurité est plus que jamais l’affaire de tous.
Nous vous remercions de votre vigilance et vous assurons de notre engagement pour lutter ensemble contre la cybercriminalité.

 

• À lire également
  Le document Les 11 commandements de la Cybersécurité (pdf)
  Pour le consulter, cliquez ici.

 

2. Les principales tactiques de fraude à connaître

 

La fraude au président

Elle consiste à piéger un collaborateur habilité à effectuer les paiements de l’entreprise, le but étant qu’il paie une fausse facture ou réalise un transfert d’argent non autorisé.

La principale manière de lutter contre cette fraude consiste à être sensibilisé, en tant que dirigeant ou collaborateur impliqué dans les règlements de facturations, et à mettre en doute/vérifier tout process inhabituel.

 

Arnaque aux faux placements

Les arnaques à l’investissement sont de faux placements présentés comme très rentables (actions, obligations, cryptomonnaies, métaux rares, investissements fonciers à l’étranger ou énergie alternative).

La vérification auprès d’un professionnel fiable est la meilleure manière de s’en prémunir.

 

Fraude au RIB/IBAN

Elle consiste pour le fraudeur à se faire passer pour un fournisseur réel de l’entreprise en communiquant les coordonnées bancaires d’un compte dont il est bénéficiaire et en demandant que celles-ci soient prises comme nouvelles références pour de futurs règlements du fournisseur (approche par téléphone, lettre, courriels).

Un process de vérification de l’authenticité d’une telle demande doit être mis en place (vérification des sources, prise de contact avec les responsables chez le fournisseur, etc.)

 

Arnaques aux achats en ligne

Comme dans le cadre d’une utilisation privée les sites de commandes en ligne, destinés ou non aux professionnels, proposent des offres souvent attractives. Mais méfiez-vous des promotions exceptionnelles, prix nettement inférieurs au marché, offres cadeaux et autres.

Le mot d’ordre principal est de s’assurer de pouvoir contacter le vendeur en cas de litige et de s’assurer d’un process de paiement maîtrisé. Privilégiez des sites marchands hébergés dans un pays de la communauté européenne, utilisez des process de connexion et de paiements sécurisés (sites en https, 3D secure, wallets, carte de paiement virtuelle…)

  

Courriels d’hameçonnage bancaire

Il s’agit de tous courriels dont le but est d’inciter le destinataire à partager des données personnelles, financières ou de sécurité. Ces messages cherchent souvent à imiter à 100% la mise en forme de ceux émis par une entité réelle (banque, opérateur, fournisseur, etc.). Ils vous demandent des informations, ou vous proposent par exemple un lien d’accès direct à votre compte en ligne.

Ne jamais cliquer sur un lien, ne jamais répondre à un courriel de ce type directement, sont les meilleures solutions pour s’en prémunir. Méfiez-vous en particulier quand le sujet concerne des coordonnées bancaires ou demande de communiquer vos identifiants de comptes. En cas de doute préférez échanger directement avec votre service en ligne en vous connectant à votre espace client via le site ou l’application officielle.

 

Escroquerie sentimentale

Les escrocs repèrent leurs victimes via des sites de rencontres, les réseaux sociaux ou par courriel. L’escroc aborde la victime en exprimant des sentiments forts puis demande rapidement des informations personnelles ou intimes. La relation le conduit ensuite à réclamer de l’argent voire à exercer du chantage.

Vérifier autant que possible l’existence réelle de la personne avec laquelle vous dialoguez en effectuant des recherches (par exemple en recherchent sa photo de profil via les moteurs de recherche) ou en lui posant des questions. Soyez attentif à la rédaction des messages (fautes, informations vagues, etc.). Ne jamais communiquer d’informations, photos ou vidéos intimes.

 

Tentatives de vol de données personnelles
(“phishing“ / “hameçonnage“)

Ces tentatives d’escroqueries par texto consistent à demander des données personnelles, financières ou de sécurité. Le plus souvent en demandant de cliquer sur un lien ou en rappelant un numéro afin d’“activer un service“, de “vérifier“ ou d’“actualiser“ des coordonnées bancaires ou des informations de connexion.

Ne jamais céder à l’urgence, ne jamais cliquer sur ce type de lien par texto. Si une opération sur un compte émane bien d’un organisme réel alors privilégiez le contact direct via le numéro de téléphone, l’application ou le site officiel. En cas de réponse malencontreuse contactez votre banque immédiatement.

 

Faux sites bancaires

Souvent accessibles via des liens de connexion fournis par de faux courriels aux couleurs de votre banque ces fraudes prétextent une opération, le plus souvent urgente, pour vous demander de vous connecter à votre banque via un lien fourni. Le lien envoie vers un site qui copie l’interface de la banque réelle et permet à l’escroc de récupérer vos informations personnelles ou de connexion au vrai service bancaire.

Ne cliquez jamais sur les liens des courriels menant au site de votre banque. Les établissements bancaires ne transmettent pas de messages employant le mot “URGENT“. Vérifiez si le message ne comporte pas d’anomalies (fautes de grammaire/orthographe) En cas de doute connectez-vous à votre banque via un navigateur sécurisé ou contactez votre banque par téléphone.

 

Hameçonnage par téléphone

L’hameçonnage par téléphone, à l’instar de ceux par courriel, consiste pour l’escroc à se faire passer pour une autorité afin de convaincre sa victime de délivrer des données personnelles, financières ou de sécurité, voire la mener à un transfert d’argent.

Se méfier des appels non sollicités. Un établissement bancaire ne demande jamais de communiquer ses coordonnées bancaires par téléphone. En cas de doute prétendez que vous allez rappeler le correspondant, raccrochez et notez le numéro afin de vérifier son authenticité auprès de l’entité réelle qu’il prétend représenter. Informez votre banque de tout appel suspect.

 

Pour résumer les principaux comportements salutaires à adopter :

• toujours se méfier des process inhabituels et dans l’urgence,
• passez toujours par des canaux officiels,
• vérifiez les sources et points de contact de vos échanges extérieurs.

Signalez toujours à la police une tentative d’arnaque, même évitée.

 

• À lire également
  Ces différentes tactiques et les moyens de s’en prémunir sont récapitulées et détaillées dans le document SENSIBILISATION À LA FRAUDE (pdf)
  Pour le consulter, cliquez ici.