À l’heure du tout numérique, les entreprises sont plus que jamais la cible de tentatives d’escroqueries en ligne. Les cyberattaques sont de plus en plus fréquentes : les tentatives de phishing ont augmenté de 700% au début de l’année 2020, mais aussi de plus en plus sophistiquées.
La majorité des emails de phishing en entreprise relèvent en réalité du spearphishing (91% en 2015), une technique de cybercriminalité permettant aux escrocs de voler des données sensibles ou d’extorquer des fonds.
Quelles formes cette menace prend-t-elle et comment protéger votre entreprise ? On vous explique !
Le spearphishing : de quoi s’agit-il ?
Le spearphishing est une technique de piratage dont la particularité est de cibler ses victimes et de les contacter en usurpant l’identité de personnes qu’elles connaissent.
Dans un premier temps, les escrocs récoltent ces données personnelles à travers les réseaux sociaux ou les sites web des entreprises facilement accessibles.
Ensuite, à l’aide de ces données, les criminels personnalisent les emails pour leur donner une apparence familière aux victimes ciblées. Les courriels semblent ainsi provenir de contacts connus, tels qu’une entreprise cliente, un partenaire commercial ou encore un fournisseur.
Convaincues d’avoir affaire à l’un de leurs tiers ou de leurs partenaires, les victimes ouvrent les emails et cliquent sur les liens qui s’y trouvent.
S’enclenche ainsi le troisième temps de la cyberattaque : presque systématiquement, ces liens contiennent des malwares ou spywares, des logiciels espions ou malveillants qui permettent aux pirates d’avoir accès à des données sensibles.
Ces emails peuvent également sembler provenir d’un contact connu demandant le transfert urgent d’une somme d’argent, le règlement d’une facture, ou d’une banque demandant une mise à jour des coordonnées bancaires.
Qui est menacé par le spearphishing ?
Le piratage par hameçonnage ciblé menace tout le monde : ni les particuliers ni les entreprises ne sont à l’abri. Dans le cas plus précis d’une entreprise, l’arnaque cible rarement un seul employé mais plutôt deux ou trois, voire plus.
Ils reçoivent un mail semblant provenir de leur manager ou d’un supérieur hiérarchique, comme dans le cas de la plupart des fraudes au virement (en savoir plus ici) leur réclamant urgemment une certaine somme, des identifiants ou mot de passe, ou encore des données confidentielles sur l’entreprise.
Tout se joue sur l’aspect familier de l’email : il paraît provenir d’une source parfaitement sûre et contient des informations personnelles ou internes à l’entreprise. La demande n’en paraît que plus légitime et piéger les victimes est plus aisé.
Quelle différence entre spearphishing et phishing ?
Entre ces deux techniques d’hameçonnage, la méthode est la même : envoyer un email piégé pour extorquer des informations confidentielles ou des fonds.
La différence entre les deux réside dans le ciblage personnalisé : le contenu spearphishing semble être envoyé par une source connue et sûre pour la victime.
Le phishing classique consiste à envoyer des emails (ou des SMS) génériques aux victimes potentielles :
- Les emails sont envoyés en masse, sans cibler de victime en particulier
- Ils ne contiennent pas de contenu personnalisé
- Ils sont généralement moins bien travaillés que les courriels de spearphishing
Les emails de phishing classique semblent plus facile à repérer et à éviter que le spearphishing. Cette dernière technique est donc redoutable et demande de mettre en place un processus de contrôle rigoureux.
Comment se prémunir contre le spearphishing ?
L’hameçonnage ciblé est une technique de piratage pernicieuse : difficile à repérer, elle repose en grande partie sur l’erreur humaine.
Les collaborateurs des entreprises ont l’habitude de recevoir de nombreux emails et de traiter des demandes de leurs supérieurs hiérarchiques. Le spearphishing utilise cette habitude pour les piéger sans qu’ils ne s’en aperçoivent.
Pour lutter contre cette fraude, les entreprises doivent avant toute chose former leurs collaborateurs à faire face à cette menace :
Reconnaître le mode opératoire
Les équipes financières opérationnelles sont les premières victimes des tentatives de spearphishing. Pour réduire les risques, il convient donc de les sensibiliser à l’existence de cette fraude et à son mode de fonctionnement.
Les entreprises invitent ainsi leurs collaborateurs à être aussi attentifs que possible au contenu et à l’expéditeur des emails qu’ils reçoivent, surtout quand ils concernent l’ajout ou la modification de données sensibles ou la réalisation d’un virement bancaire. N’hésitez pas également à mener des campagnes de sensibilisation contre le phising en entreprise.
Vérifier l’expéditeur de l’email
La plupart des messageries électroniques détectent les emails malveillants et les envoient directement dans les spams. Mais lorsque ce n’est pas le cas, c’est parce que l’adresse email semble « normale ». Le destinataire de l’email doit donc vérifier par lui-même qu’il s’agit bien de l’adresse habituelle de son correspondant.
Ne pas cliquer sur les pièces jointes ou les liens
Pour éviter de se faire piéger par le spearphishing, les collaborateurs doivent prendre l’habitude de ne pas cliquer machinalement sur les pièces jointes ou les liens de l’email. Supprimer cette habitude leur permet d’acquérir le réflexe de vérifier la provenance de l’email et limite les risques de fraude.
Renforcer les processus de contrôle grâce à Trustpair
Pour aller plus loin dans la sécurisation des processus, faire appel à des solutions digitales d’identification des tiers permet de renforcer les mesures de sécurité manuelles réalisées par les équipes financières.
En effet, si l’erreur humaine reste le principal point d’entrée des cyberfraudes, c’est parce qu’arriver à bien identifier l’identité de son interlocuteur reste complexe. Et ce particulièrement lorsque la réalisation d’un virement bancaire est en jeu.
Pour pallier ce problème, Trustpair propose une solution permettant de contrôler automatiquement les données juridico-légales des tiers, afin d’être toujours sûr de payer le bon tiers sur le bon compte bancaire.
POINTS À RETENIR
Le Spearphishing c’est:
- Une technique d’hameçonnage jouant sur l’usurpation d’identité
- Plus aboutie que le phishing basique, avec une recherche au préalable et une cible étudiée et choisie
- Qui repose sur l’erreur humaine
- S’en prémunir c’est: s’informer, former, vérifier et faire preuve de précaution
- Trustpair vous propose des solutions prévenant ce type de risque, en sécurisant vos processus financiers en interne