N'attendez pas d'être victime d'hameçonnage, sensibilisez votre personnel

Publié le 26/03/2018 à 13:40

N'attendez pas d'être victime d'hameçonnage, sensibilisez votre personnel

Publié le 26/03/2018 à 13:40

Harponnage, rançongiciel, logiciel malveillant, ingénierie sociale, fraude du président…si vous continuez de croire que l’hameçonnage par courriel demeure un problème de TI, votre entreprise risque de subir de sérieux problèmes dans un avenir rapproché.


« Les entreprises québécoises ne sont pas à l’abri des fraudes. Or, plus d’une moyenne et grande entreprise sur deux n’a toujours pas établi de programme ni de mesures de sécurité à cet égard. Et ce nombre est encore plus élevé au sein des PME », a fait savoir Théo Zafirakos, chef de la sécurité de l’information chez Terranova, une firme spécialisée dans les campagnes de sensibilisation à la sécurité de l’information auprès des employés. M. Zafirakos était l’un des experts à prendre la parole lors de la 4e conférence Sécurité de l’information, présentée par Les Événements Les Affaires, le 21 mars dernier, à Montréal.


Des fraudes motivées par un gain d’argent


L’aspect financier demeure la principale motivation des fraudeurs dans plus de 65% des cas, a-t-il indiqué. L’espionnage (33%) et le sabotage (1%) sont les deux autres motivations.


Le professionnel en cybersécurité a d’ailleurs partagé plusieurs statistiques inquiétantes sur l’évolution de l’hameçonnage dans le milieu des affaires. « Selon Forbes, juste aux États-Unis, l’hameçonnage se traduit par des pertes de plus de 500 M$ par année pour les entreprises. De plus, ce sont 400 entreprises nord-américaines par jour qui sont ciblées par une fraude du président », a mentionné M. Zafirakos.


Ce type de fraude, a-t-il expliqué, consiste à profiter de l’absence du PDG d’une entreprise. Les escrocs communiquent alors avec la personne responsable des finances de la société en se faisant passer pour le président. Les fraudeurs simulent une importante opération financière et demandent à la personne ciblée d’effectuer un virement bancaire. M. Zafirakos a rappelé à l’auditoire le cas de la Coop fédérée qui s’était fait arnaquer 5,5M$ en 2014 par ce stratagème.


Intelligence artificielle


Les fraudeurs profitent de la distraction et de la curiosité des gens


 « Le problème, c’est le manque de sensibilisation auprès du personnel. Les fraudeurs utilisent des techniques de plus en plus sophistiquées. Ils savent que plusieurs employés vont être distraits, curieux, peut-être même stressés ou soucieux d’être productifs. Autant de facteurs qui incitent les employés à cliquer sur des courriels, des liens ou des images qui peuvent être malveillants », a souligné Théo Zafirakos. À ce propos, Symantec a révélé que les fausses factures en pièce jointe PDF se veulent le leurre le plus efficace pour inciter les gens à cliquer.


Remarquez, en matière de stress et distraction, ce n’est pas un hasard que les fraudeurs utilisent les moments forts du calendrier, tels le temps des fêtes et la période des impôts, ou encore les périodes d’élection ou de référendum pour augmenter leur volume d’attaques, a soulevé l’expert de Terranova.


Comment se protéger?


Les entreprises doivent établir un code de conduite. « Il faut qu’elles mettent en place de bonnes pratiques et des politiques de sécurité. Évidemment, pour que le message passe, les employés doivent être interpellés par les raisons qui expliquent la mise en place de ces mesures » a expliqué le conférencier.


Les entreprises, a-t-il dit, ont tout intérêt à effectuer des tests de simulation. Un des participants dans la salle, qui œuvre au sein d’une entreprise liée à la sécurité, a fait savoir qu’un test de simulation de courriel malveillant avait été effectué auprès de 800 personnes de son organisation. Les résultats du test lui ont donné des frissons dans le dos. Plus de 70% ont ouvert le courriel pour ensuite cliquer sur l’image ou le lien suggéré.


« On recommande d’ailleurs aux entreprises d’inclure dans le rapport d’évaluation de rendement des employés un volet sécurité. Il faut que les employés réalisent le rôle qu’ils occupent dans l’entreprise en termes de sécurité. On suggère également aux entreprises de récompenser les employés qui, au cours des tests de simulation, ont non seulement été vigilants, mais qui ont signalé à leurs supérieurs la réception de courriel malveillant.


Même sur votre téléphone


Directeur du centre de recherche et développement en cybersécurité chez ESET, Alexis Dorais-Joncas, a pour sa part signalé qu’une des fortes tendances actuelles des fraudeurs est d’utiliser la technique de téléchargement de logiciels et applications malveillants. En 2017, plus de 700 000 applications de Google Play se sont avérées malveillantes. Une augmentation de 70% en rapport à 2016, a-t-il souligné.


« Bien qu’il ne soit pas évident de détecter ces applications malveillantes, certains indices peuvent permettre de les identifier », a indiqué le conférencier Dorais-Joncas. Notamment le nombre de téléchargements. En général les applis malveillantes demeurent seulement quelques jours en ligne. Méfiez-vous également des permissions demandées lors des téléchargements et portez davantage attention aux commentaires négatifs que positifs, a conseillé cet autre conférencier.


À propos de ce blogue

En coulisses est le blogue des Événements Les Affaires. Nous vous proposons un accès privilégié aux meilleures pratiques de la communauté d’affaires québécoises qui sont partagées lors de nos conférences. Notre mission : vous présenter des idées concrètes afin de vous aider dans votre réflexion et répondre à certaines de vos préoccupations d'affaires.

Sur le même sujet

À surveiller: Héroux-Devtek, Lululemon et Splunk

28/03/2018 | Stéphane Rolland

Que faire avec les titres d’Héroux-Devtek., Lululemon et Splunk? Voici quelques recommandations d’analystes.

Vers la fin du mot de passe ?

Édition du 10 Février 2018 | Denis Lalonde

L'utilisation du mot de passe traditionnel appartient désormais au passé pour les entreprises à la recherche de ...