Malgré la popularité des réseaux sociaux et de la messagerie instantanée, le courrier électronique reste un outil de communication essentiel pour les entreprises. Malheureusement, cette popularité en fait également une cible de choix pour la cybercriminalité.
D'après des rapports récents, 94 % de tous les logiciels malveillants sont diffusés par e-mail. Parfois, ces logiciels malveillants se présentent sous la forme d'une simple pièce jointe, parfois sous celle d'un lien trompeur menant à une page web qui les contient. Mais quelle que soit la stratégie choisie par les pirates, en protégeant la messagerie de l'entreprise, vous protégez son avenir.
Pour les petites et moyennes entreprises (PME), les informations constituent leur atout le plus précieux ; il est donc essentiel de les protéger. La sécurité de l'information (ou « infosec ») désigne un ensemble de pratiques visant à protéger les données contre tout accès non autorisé ou toute altération. Elle repose sur trois principes fondamentaux : la confidentialité, l'intégrité et la disponibilité.
Pour mettre en place une politique de sécurité de l'information spécifique à la messagerie électronique qui tienne compte de ces trois éléments fondamentaux, il est nécessaire que l'ensemble du personnel de l'entreprise suive une formation. Cela permettra de garantir la sécurité de vos communications par e-mail et de s'assurer que vos employés sont conscients des risques liés à une éventuelle violation résultant d'erreurs humaines, ainsi que de l'utilisation inappropriée d'Internet et d'autres activités dangereuses.
Prenez quelques instants pour découvrir les trois menaces les plus courantes liées aux e-mails et nos recommandations pour y faire face dans le cadre d'une politique de sécurité de l'information :
Hameçonnage et hameçonnage ciblé
Les e-mails de hameçonnage recourent à des techniques de manipulation psychologique pour inciter les destinataires à divulguer des informations sensibles, qui peuvent ensuite être vendues ou exploitées à des fins malveillantes. Le hameçonnage se caractérise généralement par un expéditeur qui semble authentique et un message destiné à dissimuler des intentions malveillantes. Si le message est convaincant, les utilisateurs cliquent sur des pièces jointes contenant des logiciels malveillants, sur des liens vers des sites web frauduleux, ou sur une combinaison des deux.
Le spear phishing est une forme plus ciblée de phishing qui utilise un contenu et des informations hautement personnalisés, destinés à des personnes spécifiques. Dans ce type de scénario, les fraudeurs mènent des recherches approfondies sur leurs victimes afin de renforcer la crédibilité de leurs e-mails.
Conseil en matière de sécurité informatique : les cybercriminels et les escrocs ont tous deux recours à diverses techniques d'ingénierie sociale pour pousser leurs cibles à télécharger des fichiers ou à divulguer des informations sensibles. Par exemple, les fraudeurs utilisent des techniques d'intimidation dans de faux e-mails qui menacent de désactiver les comptes si le destinataire ne suit pas les « instructions ». Sous la pression, l'employé finit par céder aux manœuvres de l'escroc. Formez vos employés à la prévention des attaques de phishing en leur expliquant comment fonctionnent le phishing et le spear phishing.
Vous pouvez également recourir à des exercices de simulation pour illustrer des situations réelles. Si votre logiciel de sécurité intègre ces mesures anti-hameçonnage, pensez à envoyer de faux e-mails de hameçonnage à vos employés au moins une fois par mois afin de les maintenir en alerte.
Courrier indésirable
Les courriers indésirables continuent de poser de nombreux problèmes aux PME. Ce qui les rend si dangereux, c'est que la plupart des gens les considèrent comme une simple nuisance plutôt que pour ce qu'ils sont réellement : une menace regorgeant de logiciels malveillants. À l'instar des e-mails de hameçonnage, les courriers indésirables peuvent également être conçus pour sembler provenir de sources légitimes, telles que des boutiques en ligne, ce qui augmente le risque que des utilisateurs peu méfiants téléchargent des fichiers suspects.
Conseil en matière de sécurité informatique : les administrateurs réseau doivent s'assurer que les filtres anti-spam — y compris la gestion des politiques et les seuils de détection des menaces — sont correctement configurés. Si vous disposez déjà de solutions de sécurité pour la messagerie électronique, veillez à utiliser des fonctionnalités telles que le suivi de la réputation Web et la détection des failles dans les documents. Celles-ci sont conçues pour filtrer les attaques ciblées avant qu'elles n'atteignent les utilisateurs.
Usurpation d'identité par e-mail (BEC)
Dans cette arnaque, les pirates informatiques accèdent à la messagerie électronique d'un cadre supérieur et envoient des messages depuis ce compte. Les arnaques de type BEC consistent souvent à demander aux employés de transférer des fonds vers un compte contrôlé par le cybercriminel.
Les escroqueries de type BEC sont très prisées des cybercriminels, car elles sont extrêmement simples à mettre en œuvre et ne nécessitent ni compétences avancées en programmation, ni connaissances techniques particulières, ni logiciels malveillants complexes. Le rapport 2019 du FBI sur la cybercriminalité révèle que les escroqueries de type BEC ont constitué le type de cybercriminalité le plus préjudiciable et le plus efficace l'année dernière.
Conseil en matière de sécurité informatique : les PME devraient utiliser des logiciels de sécurité des e-mails automatisés. Familiarisez vos techniciens informatiques, vos responsables et vos employés avec les indicateurs courants de l'hameçonnage par e-mail (BEC) afin que tous les membres de votre équipe soient en mesure d'examiner attentivement l'origine et le contenu des e-mails entrants et sortants.
Une politique de sécurité informatique solide et efficace pour la messagerie électronique de votre entreprise est indispensable. Il vous incombe de protéger les informations sensibles de vos clients et de vos employés. Graphus vous permet de communiquer en toute confiance, avec la certitude que vos boîtes de réception sont à l'abri des cyberattaques et des escroqueries par ingénierie sociale. Appelez-nous dès aujourd'hui pour vous lancer.
