L’hameçonnage est une constante dans le paysage de la cybersécurité. « C’est presque aussi vieux qu'Internet lui-même et c'est toujours un moyen très efficace d'attaquer les particuliers et les entreprises, » déclare Ondrej Kubovic, Security Awareness Specialist chez ESET. Bien que cette menace existe depuis longtemps, l'hameçonnage peut surprendre les collaborateurs, les responsables, les administrateurs informatiques et les professionnels. Voici ce qu'il faut savoir sur l'évolution récente de l’hameçonnage.
Les filtres anti-hameçonnage ne sont pas en mesure de stopper toutes les attaques
Même si de nombreuses entreprises utilisent des filtres anti-hameçonnage, des campagnes parviennent encore à passer à travers. La sensibilisation s'est améliorée dans certains domaines, mais de nombreuses personnes se laissent encore prendre au piège de l'hameçonnage. « Les gens sont incités à cliquer sur des liens malveillants, remplir des formulaires apparemment fiables ou saisir leurs identifiants sur de fausses pages de connexion. Une partie du problème réside dans le fait qu'ils ne peuvent pas distinguer une fausse URL d'une URL légitime, » résume Ondrej Kubovic. Les criminels ont également amélioré leurs méthodes d'attaque, en s'appuyant sur des techniques d'usurpation d'identité et d’attaques sur la chaîne de réponse. Grâce à l'amélioration des traductions, les fautes de grammaire et de style appartiennent de plus en plus au passé, ce qui rend de plus en plus difficile pour les collaborateurs de repérer les messages d'hameçonnage.
Comme le résume Ondrej Kubovic : « Il n'est pas possible de former chaque collaborateur à l’identification de toutes les attaques d'hameçonnage. Il suffit que quelques collaborateurs commettent une erreur et divulguent les informations dont les criminels ont besoin pour lancer une cyberattaque aux conséquences graves. Plusieurs des récentes atteintes très médiatisées à la sécurité, comme dans le cas de Dropbox, ont été attribuées à l'erreur d'une seule personne. »
La principale détection en 2022 était un formulaire d'hameçonnage
Selon les données de télémétrie d'ESET en 2022, la principale détection au niveau mondial était HTML/Phishing.Agent, avec près de 19 % des attaques. Ces chiffres ont augmenté au cours des trois premiers mois de 2023 pour atteindre 37,5 %.
Lorsque le travail hybride est devenu la norme pour de nombreuses entreprises, les cybercriminels se sont adaptés et ont commencé à imiter les outils utilisés pour le télétravail. Les thèmes d'hameçonnage les plus populaires concernent DHL, WeTransfer, DocuSign, Microsoft Office et Microsoft Outlook. Une ruse d'hameçonnage efficace consiste à envoyer de faux messages semblant provenir du service informatique en demandant aux collaborateurs de changer leurs mots de passe. « Certains attaquants utilisent même des contenus de l'entreprise ou détournent la marque officielle pour donner l'impression que l'attaque est digne de confiance, » prévient M. Kubovic.
L'hameçonnage est un phénomène ancien qu’il ne faut cependant pas sous-estimer
Même si l'hameçonnage peut sembler dépassé et est un peu trop fréquemment évoqué, il ne faut pas le sous-estimer. Qu’est-ce que les spécialistes informatiques devraient retenir ? « Informez vos collaborateurs de l'existence d'une campagne d'hameçonnage en cours contre l'entreprise et assurez-vous qu'ils savent comment signaler tout contenu ou comportement suspect. En cas d'incident, déterminez s'il y a eu une erreur humaine au début de l'attaque et, si c'est le cas, utilisez-la comme support de formation, » recommande M. Kubovic. Plus la détection d'une attaque d'hameçonnage est précoce, plus l'entreprise a de chances d'éviter des pertes de données et des préjudices financiers.
Une entreprise disposant de ressources limitées peut envisager d'externaliser sa sécurité informatique. « Les entreprises qui ne disposent pas de moyens de sécurité internes peuvent faire appel à un prestataire de services managés (MSP) qui s'occupera de leur cybersécurité, ou du moins de certains aspects de celle-ci, » explique M. Kubovic. Les MSP peuvent offrir des normes plus élevées, mais seulement si les responsabilités et les aspects spécifiques du service sont correctement définis dans le contrat.
Alors que les MSP deviennent des cibles de plus en plus populaires, comme la société de technologie Kaseya en 2021, votre entreprise pourrait devenir une victime indirecte d'une attaque contre une chaîne d'approvisionnement. Il est donc essentiel de vérifier les mesures prises par le MSP pour empêcher un tel scénario, ainsi que les plans prévus au cas où il se produirait. « Avant de choisir votre MSP, identifiez vos systèmes et vos données critiques, et veillez à ce que le contrat couvre leur protection et leur récupération potentielle, » suggère Ondrej Kubovic d'ESET.
« En fin de compte, les MSP sont responsables de leur sécurité et de la vôtre. En tant que partenaire essentiel, ils doivent être aussi fiables que vos experts internes. »
Apprenez à connaître le rôle des MSP en détail et découvrez comment choisir le vôtre.
