Bilan inquiétant du phishing en entreprise en 2023 : quels sont les risques ?

Dans cet article
Table des matières
Like it? Share it

Parmi les méthodes employées par les pirates, le phishing  en entreprise est en plein essor. D’après l’enquête Microsoft’s New Future of Work Report, plus de 62% des répondants ont constaté une augmentation des attaques de phishing. Ceci, notamment sous l’impulsion du télétravail.

Le phishing en entreprise – ou hameçonnage – est une technique employée par les fraudeurs afin de détourner des fonds et subtiliser des informations sensibles. Les pirates envoient un mail ou piègent les individus via de faux sites. S’ils parviennent à dérober des accès internes, ils peuvent par exemple exécuter des virements vers des comptes frauduleux. Malgré les mesures de sécurité, le phishing demeure une menace sérieuse pour de nombreuses entreprises. Il est dès lors recommandé de s’équiper d’une solution de détection automatique de la fraude.

Trustpair vous protège contre les effets néfastes du phishing qui a souvent pour objectif de détourner de l’argent vers un compte frauduleux. La plateforme contrôle tous les paiements et empêche les virements frauduleux d’être exécutés. Contactez l’un de nos experts pour en savoir plus ! 

Nouveau call-to-action

Quelles sont les méthodes de phishing en entreprise ?

Les pirates ont massivement recours aux emails frauduleux pour piéger leurs victimes. Ils peuvent également créer de faux sites usurpant l’identité de sites web légitimes.

Emails frauduleux

L’email demeure la méthode de phishing la plus utilisée par les pirates informatiques. En 2022, près de la moitié des emails envoyés étaient classifiés comme spam (et correspondaient donc majoritairement à du phishing). Chaque jour, ce sont environ 3,4 milliards d’emails frauduleux qui sont envoyés.

La méthode est simple. Les pirates usurpent l’identité d’institutions légitimes, comme des banques, assurances, fournisseurs de services de messagerie, organisations gouvernementales, etc. Ils envoient des mails frauduleux contenant des liens malveillants, pièces jointes infectées ou demandes de renseignements personnels.

Afin de maximiser les chances d’une attaque réussie, les cybercriminels ont le plus souvent recours à l’ingénierie sociale. Cette technique de manipulation consiste à amasser suffisamment d’informations sur l’institution usurpée et la cible désignée. L’email frauduleux paraît donc plus crédible et le destinataire est davantage susceptible d’être hameçonné.

Cette technique, connue sous le nom de spear-phishing est redoutable, et présente une menace même pour les organisations les plus sécurisées. Ainsi, en 2016, le Parti Démocrate américain a subi une attaque de phishing par email. Les pirates ont usurpé l’identité de Google afin de récupérer des identifiants de connexion et accès internes. Cette attaque a mené à la divulgation de dizaines de milliers de courriels et documents confidentiels.

Le phishing par email est d’autant plus redoutable qu’il reproduit les éléments de communication des organisations usurpées. Les visuels présents dans le mail (logo, charte graphique, etc.) complexifient la détection des menaces.

Sites web

Les pirates informatiques créent des sites qui imitent visuellement des sites web légitimes, comme des sites bancaires ou des plateformes d’achat. Les utilisateurs sont ensuite redirigés vers ces sites web frauduleux via des liens d’hameçonnage.

Plusieurs méthodes sont employées pour inciter l’utilisateur à divulguer ses informations personnelles (noms d’utilisateur, mots de passe, etc.). Les hackers peuvent créer de fausses pages de connexion semblables à celles de sites web légitimes. Ils ont également la possibilité de créer des formulaires a priori inoffensifs, mais qui enregistrent secrètement les informations saisies.

En entreprise, les fraudeurs copient souvent les sites de mutuelle, de logiciels de paie, etc. Le collaborateur hameçonné renseigne les informations sensibles de l’entreprise, qui sont collectées par le hacker.

Quels sont les risques du phishing en entreprise ?

Le phishing présente trois grands types de risque pour les entreprises :

  • Pertes financières,
  • Vol de données sensibles
  • Perte de confiance des tiers

Perte financière

Les attaques de phishing en entreprise peuvent entraîner des pertes financières colossales. Sony en a fait les frais en 2014, lors d’une attaque de phishing amplement médiatisée à l’époque des faits. Des hackers sont parvenus à obtenir des accès internes, puis à subtiliser plus de 100 téraoctets de données avant de les effacer. Le montant des pertes estimées s’élevait alors à plus de 100 millions de dollars.

Outre les coûts directs des pertes financières, les entreprises doivent également faire face aux coûts indirects. Les frais juridiques, pertes de productivité et manques à gagner, perte de confiance des clients et l’impact sur la réputation de l’entreprise représentent autant de coûts indirects.

Par ailleurs, en cas de défaut de conformité ou de violation des données de leurs clients, les entreprises peuvent être confrontées à des poursuites judiciaires. Les sanctions supplémentaires alourdissent davantage les pertes financières engendrées par l’attaque de phishing.

Vol de données sensibles

De nombreuses données sensibles peuvent être subtilisées lors d’une attaque de phishing réussie :

  • Identifications de connexion (noms d’utilisateur et mots de passe, adresses email, etc.),
  • Informations bancaires (codes d’accès, identifiant de compte, etc.)
  • Données personnelles

Les cybercriminels utilisent ensuite ces informations afin de s’introduire dans les systèmes de l’entreprise. Ils peuvent alors par exemple entrer les coordonnées d’un compte frauduleux dans la base tiers, puis réaliser un virement vers ce même compte.

Dans certains cas, les conséquences sont encore plus graves et engagent la sécurité nationale. Le cas des cyberattaques à l’encontre des aéroports et le vol de données des personnels est édifiant. Une organisation terroriste peut en être à l’origine et utiliser les données et perturbations causées par les attaques à des fins néfastes.

Perte de confiance des tiers

En plus des pertes financières, la réputation de l’entreprise peut être impactée. Les attaques réussies de phishing ont un effet domino (auprès des clients, fournisseurs, investisseurs, etc.) et la confiance peut être complexe à établir de nouveau.

Les conséquences sur l’activité sont réelles : le mécontentement augmente et le bouche-à-oreille est négativement impacté. L’entreprise peut alors être confrontée à une perte de chiffre d’affaires qui met en danger son avenir.

Par exemple, à la suite d’une attaque de phishing réussie en 2020, Twitter a vu son cours s’effondrer de 4% en Bourse. Un signal clair de la perte de confiance.

Par ailleurs, le phishing peut perturber la chaîne d’approvisionnement, voire créer une rupture. Voici un cas concret : l’entreprise s’approvisionne en biens rares et distribués par seulement quelques fournisseurs. Si leurs données sont subtilisées, ils peuvent refuser de travailler de nouveau avec vous. Dans ce cas, l’entreprise n’est simplement plus en mesure de commercialiser ses biens ou services.

Vous voulez en savoir plus sur la gestion des risques liés aux tiers ? Téléchargez gratuitement notre livre blanc !

Livre blanc gestion des risques de tiers

Comment se protéger contre le phishing en entreprise ?

Les entreprises peuvent mettre en place un ensemble de mesures de sécurité. La sensibilisation et la formation des employés est primordiale, car l’erreur humaine demeure le premier vecteur de réussite des attaques de phishing. L’entreprise doit également veiller à établir des protocoles de sécurité comme des campagnes de phishing.

1. Sensibiliser et former les employés au phishing en entreprise

Les pirates ciblent des collaborateurs à risque dans l’entreprise, à savoir ceux qui disposent d’accès critiques. Il peut s’agir du comptable, qui est en mesure de réaliser des virements. Les attaques de phishing se déploient par ailleurs tout au long du processus Procure-to-Pay. Il peut s’agir d’un faux partenaire commercial lors de la demande d’achat par exemple. De nombreux services sont donc mobilisés (achat, trésorerie et comptabilité, juridique, etc.).

Ce sont alors autant d’employés qui peuvent être ciblées par des attaques de phishing. Dès lors, l’entreprise doit sensibiliser et former ses collaborateurs :

  • Connaissance des techniques utilisées
  • Identification de signaux d’alerte (fautes d’orthographe, changement dans l’adresse email, etc.)
  • Interdiction de divulguer des informations confidentielles et données sensibles sans double vérification

Les hackers apprennent les mesures de protection mises en place et développent de nouvelles techniques.Idéalement, la formation doit donc être régulière pour parer à ces menaces constantes.  Il est possible d’entreprendre plusieurs actions. En plus des sessions de formation, l’entreprise peut également organiser des jeux de rôle et mises en situation, installer des affiches de prévention, etc.

La formation doit également être une opportunité d’identifier les lacunes des processus et collaborateurs. Les futures sessions de sensibilisation et formation apporteront ainsi des solutions pertinentes aux problèmes identifiés.

2. Établir des politiques de sécurité strictes

Plusieurs méthodes permettent de renforcer la sécurité de l’entreprise face au phishing :

  • Création d’une cartographie des risques : les entreprises peuvent identifier les services et étapes du P2P les plus à risque. Elles peuvent ainsi hiérarchiser les mesures de sécurité à mettre en place pour réduire les risques liés au phishing et autres menaces. La cartographie détaille différents scenarii typiques et les actions à entreprendre le cas échéant.
  • Authentification multi-facteur : cette mesure de sécurité utilise plusieurs modes d’authentification pour valider l’identité d’un utilisateur. Il peut s’agir d’un code généré par une application mobile ou envoyé par SMS. Les pirates ont dès lors plus de difficultés à s’introduire dans les systèmes de l’entreprise.
  • Contrôle des accès : certaines fonctions sont critiques, comme la gestion de la base tiers ou la mise en place d’un virement. Ce sont donc des cibles privilégiées des cybercriminels. Limiter les accès aux seuls collaborateurs accrédités permet dès lors de réduire les risques. Plusieurs méthodes existent, comme la limitation aux heures de travail, l’autorisation d’adresses IP spécifiques, etc.
  • Ségrégation des tâches : il s’agit de séparer les tâches critiques (mise en place et autorisation du virement par exemple) entre différents employés. Cette méthode diminue mécaniquement le risque de fraude grâce à une multiplication des contrôles. La ségrégation des tâches est aussi connue sous le nom du “principe des 4 yeux”. Comme son nom l’indique, il consiste à impliquer plus de deux collaborateurs dans les tâches critiques afin de minimiser les risques.
  • Logiciels anti-spam : ceux-ci sont conçus pour bloquer les emails de phishing et autres emails frauduleux avant même qu’ils n’atteignent la boîte de réception. Différents filtres réduisent le risque que les employés cliquent sur des liens dangereux ou divulguent des informations sensibles.

Bien que recommandées, ces méthodes n’éliminent pas les risques de fraude et de phishing. L’erreur humaine est toujours possible. Il est dès lors recommandé d’opter pour une protection supplémentaire grâce à une solution de détection de la fraude. Les conséquences d’une attaque par phishing sont donc contenues.

3. Choisir une solution pour contrer les effets du phishing en entreprise

Le phishing vise souvent à transférer des fonds détournés vers un compte frauduleux.  La détection de ce type de fraude en entreprise peut s’avérer particulièrement difficile, en particulier de manière manuelle. Une plateforme de détection automatique de la fraude représente donc une solution complémentaire à vos systèmes de sécurité. La solution bloque les demandes suspicieuses de paiement ou de changement de coordonnées bancaires. Elle prévient ainsi des effets néfastes du phishing.
Plusieurs critères de choix sont à prendre en compte pour choisir une telle solution :

  • Taille de l’entreprise
  • Budget / prix et frais
  • Fonctionnalités de sécurité
  • Mise en place et formation
  • Support
  • Compatibilité avec les systèmes existants
  • Évolutivité (législation, nouvelles menaces, etc.

Dans cette perspective, vous pouvez choisir une solution de protection contre la fraude au virement, comme Trustpair.

La plateforme se déploie au sein de vos processus et logiciels de sécurité existants. Elle mène une veille constante de la base tiers et détecte automatiquement toute anomalie, erreur ou tentative de fraude.Pour conclure, le phishing constitue une menace sérieuse pour les entreprises.

Les conséquences d’une attaque réussie sont lourdes : dommages financiers, vol de données sensibles, perte de confiance des tiers, etc. Face aux emails frauduleux et faux sites web, les entreprises doivent donc s’armer. En plus d’un logiciel anti-phishing, il est conseillé de s’équiper d’une solution de détection automatique de la fraude. C’est le cas de Trustpair : la plateforme surveille les paiements et évite donc les virements frauduleux.

Pour conclure…

Le phishing constitue une menace sérieuse pour les entreprises. Les conséquences d’une attaque réussie sont lourdes : dommages financiers, vol de données sensibles, perte de confiance des tiers, etc. Face aux emails frauduleux et faux sites web, les entreprises doivent donc s’armer. En plus d’un logiciel anti-phishing, il est conseillé de s’équiper d’une solution de détection automatique de la fraude. C’est le cas de Trustpair : la plateforme surveille les paiements et évite donc les virements frauduleux.

Autres articles

FAQ
Questions les plus courantes

Parcourez les différentes sections et trouvez les réponses à vos questions

Le phishing en entreprise est une technique utilisée par des cybercriminels pour tenter d’obtenir des informations confidentielles auprès des employés d’une entreprise. 

Cette méthode repose sur l’envoi d’emails frauduleux ou la création de faux sites web. Si le pirate parvient à obtenir des accès internes à l’entreprise, il peut par exemple en profiter pour réaliser des virements vers des comptes frauduleux.

Le phishing en entreprise peut avoir de graves conséquences : 

Perte de données sensibles : les cybercriminels accèdent à des informations confidentielles, comme les mots de passe, les numéros de cartes de crédit, les informations financières, etc.

Dommages financiers : les pirates utilisent les informations subtilisées pour commettre des fraudes financières, transférer des fonds ou accéder à des comptes bancaires.

Diminution de la productivité : Les attaques de phishing entravent le bon fonctionnement de l’entreprise (temps passé à résoudre le problème).

Réputation endommagée : l’image de marque de l’entreprise souffre si l’attaque de phishing est rendue publique et que les informations volées sont divulguées.

Perturbation de la chaîne d’approvisionnement : un fournisseur impacté par une attaque de phishing à l’encontre de votre entreprise peut par exemple refuser de travailler de nouveau avec vous.

Il existe plusieurs mesures que vous pouvez prendre pour protéger votre entreprise contre le phishing :

  • Sensibilisez vos employés aux risques du phishing et fournissez-leur une formation régulière sur les meilleures pratiques de sécurité.
  • Installez des filtres anti-spam pour bloquer les emails malveillants avant qu’ils n’atteignent les boîtes de réception des employés.
  • Utilisez des outils de détection des menaces pour surveiller en permanence les activités suspectes sur votre réseau et vos systèmes.
  • Développez des politiques strictes de gestion des mots de passe et encouragez l’utilisation de mots de passe forts et différents pour chaque compte.