Retour au blog

Télétravail : nos conseils pour éviter le phishing

Le dans Innovative IT

Photographie d'un homme en train de taper des lignes de code sur son ordinateur

A l’ère du tout digital, la gestion des risques en entreprise a fortement évolué. Certes, les risques physiques existent toujours (incendie, inondation, panne de matériel, etc.), mais ce qui inquiète les professionnels, ce sont les cyberattaques. Et parmi elles, le phishing occupe une place importante. Avec la crise sanitaire que nous vivons et l’avènement du télétravail, ce risque est toujours plus grand. Il reste cependant possible de trouver des solutions pertinentes pour éviter le phishing.

Phishing : définition

Le phishing est une technique également nommée hameçonnage ou filoutage. Elle est mise en place par des personnes malveillantes pour obtenir des informations sur l’identité de la victime. Les personnes visées sont à la fois des particuliers et des professionnels.

Le phishing consiste à usurper, de manière générale, l’identité d’un organisme financier ou d’une administration. Prenons trois cas classiques :

  • Une banque vous envoie un mail pour vous demander de confirmer vos coordonnées bancaires. En cliquant, vous parvenez sur un site mis en place spécifiquement par les fraudeurs, et non sur le site de votre banque. Si vous donnez vos coordonnées, celles-ci seront stockées et utilisées à votre insu ;
  • Vous recevez un mail quelque peu alarmiste d’OVH chez qui vous hébergez votre site web. Ce mail vous indique que si vous ne réglez pas votre facture, votre nom de domaine sera suspendu. Naturellement, cela pose question. Un nom de domaine suspendu pourrait avoir un impact dramatique sur votre activité ;
  • Vous recevez un SMS qui vous demande de cliquer sur un lien pour activer votre compte ou mettre à jour vos données. Le simple fait de cliquer sur le lien peut permettre aux cybercriminels de prendre possession de vos données.

Pour gagner en crédibilité, les cybercriminels utilisent des noms d’entreprises et d’organismes reconnus. Banques, hébergeurs, organismes sociaux tels que la CAF ou la Sécurité sociale. Les attaques se multiplient, nous sommes confrontés chaque jour à cette méthode. La vigilance s’impose.

Quand le COVID contraint au télétravail

La crise du coronavirus qui nous touche depuis le printemps 2020 est une aubaine incroyable pour les spécialistes du phishing. Elle a mis à mal la sécurité des entreprises. En effet, si certaines entreprises avaient pris des mesures fortes en matière de cybersécurité, elles s’appliquent dans leurs locaux, pas toujours lorsque des terminaux sont utilisés hors des locaux de l’entreprise.

Le travail à domicile a été imposé de manière extrêmement rapide, les entreprises n’ont pas eu le temps de se préparer. Certaines n’avaient encore jamais fait le choix du télétravail et n’étaient donc pas prêtes sur le plan de la sécurité à exploiter cette option. D’autre part, les équipes ne sont nécessairement formées à la cybersécurité. De ce fait, elles n’ont pas connaissance des mesures à prendre pour assurer la protection de leur équipement et de leurs données.

Le travail à distance a multiplié les risques, c’est ce que prouvent différentes études. Selon un rapport de Mobile Phishing Spotlight report de juin 2020, le phishing sur les terminaux mobiles a augmenté de 37 % au cours des 6 premiers mois de l’année. Selon Orange, depuis le début de l’épidémie de COVID 19, les cyberattaques ont augmenté de 20 à 25 %, le phishing étant la méthode privilégiée des cybercriminels.

Le risque sur les appareils mobiles tels que les smartphones est évoqué. En effet, les collaborateurs peuvent, à distance, utiliser leur portable pour se connecter au réseau de l’entreprise. Or, le niveau de sécurité des smartphones est la plupart du temps extrêmement faible, cela offre une très belle porte d’entrée aux personnes malveillantes.

Mieux assurer la sécurité des données en anticipant

La pandémie de coronavirus a surpris tout le monde. Ainsi, il semble difficile de blâmer les entreprises qui n’étaient pas prêtes à gérer la sécurité dans le cadre du travail à domicile. Les DSI n’ont pas eu le temps de s’organiser et les professionnels ont souvent privilégié la reprise du travail rapidement afin de limiter le risque de perte de chiffre d’affaires. Certes, cela peut sembler être une erreur, le phishing pouvant lui aussi avoir un coût. Mais la transformation numérique des entreprises est en cours, la sécurité de systèmes d’information n’est pas encore aujourd’hui optimale.

Toutefois, la crise sanitaire que nous vivons aura certainement été un électrochoc pour les entreprises. Le virage digital n’est plus une option, c’est devenu une réalité. De ce fait, la cybersécurité doit être au cœur des préoccupations des entreprises. Non seulement elles doivent sécuriser leurs équipements et leurs données, mais elles doivent anticiper une éventuelle nouvelle crise. En cas de nouveau confinement, le télétravail serait alors une fois de plus la norme. C’est dès à présent qu’il faut trouver des solutions pertinentes pour l’avenir. Savoir anticiper, c’est pérenniser son activité et être certain de pouvoir faire face à toutes les crises.

Si vous n’avez pas de DSI en interne, vous pouvez tout à fait envisager de déléguer la mise en place d’un système de sécurité performant. OTO Technology est à vos côtés pour trouver des solutions fiables et pérennes. Comment éviter le phishing ? Voici nos solutions.

Nos solutions pour éviter le phishing

Il existe diverses solutions pour se prémunir, que vos employés travaillent à distance ou dans vos locaux. Car le phishing n’est pas l’apanage du télétravail, vous pouvez en être victime au quotidien.

Éduquer les salariés à la cybersécurité

C’est un premier point essentiel. Mettre en place des mesures de sécurité pour préserver les données de votre entreprise et réduire les risques d’intrusion ne servent à rien si vos équipes n’ont pas conscience du danger. Les sensibiliser au risque est une première étape essentielle qu’il ne faut absolument pas négliger.

Les attaques de type phishing concernent notamment la réception des mails frauduleux. Vous devez donc former vos collaborateurs pour qu’ils ne tombent pas dans les pièges des cybercriminels.

Tout d’abord, lorsqu’ils reçoivent une pièce jointe, ils doivent apprendre à bien s’assurer que l’expéditeur est fiable. Il doit s’agit d‘un client, d’un collaborateur ou d’un fournisseur. Pour en être certains, ils doivent vérifier le nom de l’expéditeur et le nom de domaine. Les cybercriminels utilisent des noms de domaines aux noms étrangers ou avec des terminaisons peu classiques.

S’ils reçoivent un courrier électronique demandant de confirmer un identifiant de connexion, sachez qu’aucune entité ne demande cela. Invitez vos équipes à supprimer de manière systématique ces mails.

Notez d’autre part que, même si les criminels ont fait des progrès en orthographe, ils se sont la plupart du temps à l’autre bout du monde, les fautes sont légion au sein des mails.

Autre point de vigilance : lorsqu’un mail est sérieux, il est nominatif. Si le courrier que vous recevez ne vous semble pas adressé personnellement, supprimez-le et invitez vos collaborateurs à faire de même.

Concrètement, dès lors que vous avez le moindre un doute, il ne faut pas ouvrir le mail ou, a minima, ne pas ouvrir la pièce ou cliquer sur le lien présent dans le mail.

Assurer la sécurité de votre réseau informatique

Dès lors que vos équipes sont formées, vous pouvez envisager de protéger votre entreprise des attaques en mettant en place une cybersécurité renforcée, tant dans vos locaux que pour les personnes en télétravail. Vous devez pour cela mettre en place un réseau sécurisé, quel que soit le lieu de connexion de vos collaborateurs.

C’est une méthode déjà utilisée par de nombreuses entreprises dès lors que leurs équipes travaillent à distance ou sont amenées à voyager. Lorsqu’elles doivent se connecter à distance, une protection doit être mise en place en amont.

OTO Technology installe pour vous votre infrastructure sécurisée. En quoi cela consiste-t-il ? Il s’agit d’administrer un réseau et de s’assurer que les données restent bien en interne et qu’elles ne peuvent être piratées. Cela passe par la mise en place d’un VPN (virtual private network) qui sécurise l’interconnexion entre les différents composants de votre parc informatique.

C’est un premier point, mais cela n’est pas suffisant pour protéger vos données et informations dans la cadre du télétravail. C’est pourquoi nous installons également un VPN SSL. C’est un tunnel virtuel nominatif permettant de crypter la connexion et de chiffrer les données qui circulent entre le poste utilisateur et l’infrastructure d’une entreprise. Ainsi, en cas de tentative de phishing, les cybercriminels ne peuvent accéder à toutes vos données librement.

La méthode OTO Technology

Pour assurer la sécurité de votre parc informatique, même à distance, nous réalisons en amont un audit. Cette étape est pour nous cruciale puisqu’elle permet de déterminer le niveau de risque de votre système d’information. Seul cet audit peut nous permettre de comprendre votre environnement de travail pour trouver des solutions appropriées. Car avec OTO Technology, vous bénéficiez en permanence d’un service 100 % sur-mesure. En matière de sécurité informatique, il n’y a pas d’approximation possible, nous ne pouvons vous proposer une solution standard.

Suite à cet audit, nous envisageons des axes d’amélioration (mise en place solutions de filtrage web, installation de VPN SSL, etc.). Nous avons avant toute chose un devoir de conseil et devons vous guider pour assurer votre sécurité informatique, que vos collaborateurs soient partout en France, à Paris, Bordeaux ou Marseille, ou qu’ils se trouvent en Europe, voire à l’autre bout du monde.

 

Nous devons tous tirer les leçons de la crise du COVID 19. L’Organisation mondiale de la Santé (OMS) tire encore aujourd’hui la sonnette alarme quant à la situation en Europe. Aussi, nous ne sommes pas à l’abri de devoir subir un nouveau confinement. C‘est maintenant qu’il nous faut nous poser les bonnes questions quant au télétravail et aux risques liés à cette pratique, qu’il s’agisse des cyberattaques en général ou du phishing en particulier.

Article précédent

Cloud et sécurité informatique : les priorités des DSI

Article suivant

Le rôle de la DSI : de la gestion opérationnelle à la stratégie
Top