Nous sommes en plein âge d'or de la cybercriminalité. Les hackers trouvent chaque jour de nouvelles techniques d’escroquerie. Et on ne parle pas de détourner des petites sommes : les cyberattaques ont coûté 8 milliards de dollars de dommages en 2023. Si la cybercriminalité était une économie, elle serait deux fois plus importante que celle de l'Allemagne.
Alors, comment travailler en sécurité ? Que faire pour éviter les nouvelles menaces (deepfakes basés sur l'IA, arnaques WhatsApp…) en plus des classiques attaques par phishing ou fraude au PDG ?
Dans cet article, on vous présente les six plus grandes menaces actuelles en matière de cybersécurité, et quelle plateforme de sensibilisation à la cybersécurité choisir pour vous aider à rester en sécurité.
#1 : Phishing
Le phishing est toujours la principale menace cyber pour accéder à des données sensibles ou à des fonds, les hackers trouvant toujours de nouveaux moyens d'usurper l'identité d'une personne (par les e-mails ou d'autres plateformes). Ces menaces n'ont fait que croître ces dernières années ; on estime que les attaques par phishing ont augmenté de 175 % au cours de la période 2021-2023.
En règle générale, les campagnes de phishing ciblent un grand nombre de personnes dans l'espoir de piéger un petit pourcentage de destinataires. Avec le spear phishing, les hackers ciblent des personnes importantes avec des campagnes très personnalisées (et très convaincantes) conçues sur mesure.
Parmi les plus courantes, on peut citer les hackers qui se font passer pour des membres du service technique, des conseillers en investissement, des membres de la famille ou même des PDG d'entreprise (nous y reviendrons plus tard).
Comment protéger votre équipe
Voici quelques conseils pour vous aider, vous et votre équipe, à éviter les attaques par phishing :
- Méfiez-vous des coordonnées bizarres : les escrocs se font souvent passer pour de vraies personnes en utilisant des variantes de leurs coordonnées réelles, comme Trusted.Person@gmaail.com. Regardez toujours les détails.
- Ne communiquez jamais d'informations confidentielles : n'envoyez jamais d'identifiants de connexion, de mots de passe, de codes d'authentification multifactorielle ou autres informations sensibles, même à un tiers de confiance.
- Méfiez-vous des messages urgents : les hackers essaient souvent de piéger les gens en leur envoyant des messages urgents pendant les périodes d'inactivité, comme le soir ou le week-end. Restez vigilant et analysez la situation.
Une autre façon d’éviter les arnaques ? Testez votre équipe avec des simulations de phishing ultra-réalistes et assurez-vous qu’ils sachent bien comment réagir. En cas d’échec, vous saurez qui a besoin d’une formation supplémentaire. Testez nos simulateurs gratuitement.
#2 : Les deepfakes basés sur l'IA
Récemment, nous avons assisté à la montée en puissance d'outils d'IA, avec notamment les deepfakes audio et vidéo. Aussi impressionnants soient-ils, ces outils génèrent de nouveaux risques. Les hackers se font passer pour vos collègues, vos proches et même vos représentants politiques.
La plateforme logicielle Retool a récemment été victime d'une violation de ses données. Un hacker a envoyé une copie du portail d'identification interne de l'entreprise à un salarié, puis l'a appelé en utilisant une imitation de la voix d'un membre de l'équipe IT. Il a convaincu la victime de fournir un code MFA, qu'il a ensuite utilisé pour accéder à de nombreux comptes clients de Retool. Une affaire qui fait froid dans le dos !
Comment protéger votre équipe
Les imitations audio et vidéo alimentées par l'IA peuvent être difficiles à détecter. Voici quelques conseils pour rester en sécurité :
- Convenez d'un code ou mot de passe de sécurité : avec votre équipe (et votre famille proche). Ainsi, en cas de doute sur l'identité de votre interlocuteur, vous pourrez toujours vérifier.
- Méfiez-vous des demandes de cryptomonnaie : plus difficiles à récupérer que les devises ordinaires, elles sont très appréciées des hackers. Toute demande de paiement en cryptomonnaie devrait vous alerter, même si elle émane d'un tiers de confiance.
- Surveillez votre empreinte numérique : les deepfakes sont basés sur des échantillons de clips audio et vidéo. Soyez donc attentif à votre présence en ligne et à ce que vous partagez avec des inconnus.
#3 : Fraude au PDG (Business Email Compromise)
Nous avons assisté à des avancées technologiques majeures, mais une chose ne change pas : la fraude au PDG, aussi connue sous le nom de Business Email Compromise (BEC). Les arnaqueurs trouvent toujours de nouveaux moyens de se faire passer pour des chefs d’entreprise, et de faire pression sur les salariés pour qu'ils transfèrent de l'argent, paient de fausses factures ou transmettent des données sensibles.
Ces arnaques ont souvent recours à l'ingénierie sociale pour gagner la confiance de leur victime, notamment en surveillant leur activité sur les réseaux sociaux, en usurpant des numéros de téléphone et même en créant de fausses chaînes de mails très élaborées.
En 2023 par exemple, Europol a mis la main sur un syndicat international d'escrocs qui menait une campagne sophistiquée de fraude au PDG. Le groupe avait extorqué 38 millions d'euros à un promoteur immobilier parisien via de fausses demandes de paiement d'acquisitions.
Comment protéger votre équipe
La fraude au PDG est un problème majeur pour toutes les entreprises. Pour limiter les risques, vous pouvez déjà :
- Vous méfier des situations urgentes : comme pour le phishing, les hackers créent souvent des situations d'urgence pour pousser les gens à obtempérer. Respirez un coup et vérifiez les détails.
- Considérer les adresses mail personnelles comme un danger : si votre PDG vous contacte depuis sa messagerie personnelle, soyez très prudent. C'est un signe courant de fraude au PDG.
- Utiliser un autre canal de communication : si vous avez des doutes sur le fait de savoir si vous parlez à votre véritable PDG ou à un imposteur, contactez votre PDG par un autre canal. Croyez-nous, il vous remerciera plus tard.
En savoir plus : Votre formation cyber old school ne fait qu'aider les hackers - Voici 4 conseils pour l'améliorer
#4 : Escroqueries sur WhatsApp (spimming)
WhatsApp est aujourd'hui la plateforme de messagerie instantanée la plus populaire au monde, avec deux milliards d'utilisateurs qui échangent 100 milliards de messages par jour. Et devinez qui d'autre aime WhatsApp ? Les hackers !
En 2023, les escroqueries sur WhatsApp (et autres plateformes de messagerie instantanée) ont explosé ; faux investissements en crypto, fausses offres d'emploi, campagnes de catfishing ou encore attaques classiques par phishing. Si votre équipe utilise WhatsApp à titre professionnel, vous devriez être conscient des risques.
Comment protéger votre équipe
Avant de cliquer sur un lien, voici quelques points à ne pas oublier :
- Vérifiez vos paramètres de confidentialité : WhatsApp offre aux utilisateurs des moyens de protéger leurs données, de limiter les informations personnelles publiques et de rester en sécurité lors des discussions de groupe. N'hésitez pas à y jeter un œil.
- Soyez prudent avec les groupes : les groupes WhatsApp sont des environnements de confiance, et donc une mine d'or pour les escrocs. Gardez les liens d'invitation pour des groupes privés et surveillez les discussions.
- Ne faites jamais confiance à des inconnus : refusez les demandes de contact des personnes que vous ne pas connaissez réellement. Si quelqu'un vous demande de transférer de l'argent ou de partager des informations sensibles, bloquez-le et signalez-le.
#5 : Malware et ransomware
Du virus classique « ILOVEYOU » aux programmes plus sophistiqués d'aujourd'hui, les malwares constituent toujours une menace majeure. Et bien que nos couches de sécurité détectent déjà plus de 300 000 malwares chaque jour, il reste encore du travail pour rester en sécurité.
Les malwares incluent également les ransomwares, comme l'attaque du réseau « Scattered Spider » contre les hôtels et casinos MGM Resorts en septembre 2023. Cette attaque a mis hors service un certain nombre d'établissements MGM pendant plusieurs jours, causant des millions de dollars de dommages et de désagréments.
Comment protéger votre équipe
Voici quelques conseils pour prévenir les attaques de malwares ou de ransomwares :
- Utilisez un bon antivirus : la plupart des plateformes de messagerie électronique proposent désormais un système de détection automatique des virus. Utilisez-le systématiquement et signalez toujours les arnaques afin d'aider le système à s'améliorer.
- N'ouvrez pas de pièces jointes inconnues et ne cliquez pas sur des liens bizarres : même s'ils proviennent de sources fiables, le risque n'en vaut pas la peine. En cas de doute, ne cliquez pas !
- Méfiez-vous des attaques de type « vishing » : l'attaque du ransomware MGM a commencé par une attaque de « vishing » (phishing vocal). Méfiez-vous toujours des tentatives d'accès à des informations sensibles par téléphone.
- Alertez si vous êtes victime de ces attaques : la cybersécurité est l'affaire de tous, en particulier de votre équipe informatique. Si vous pensez avoir été la cible d'un malware, faites-le savoir immédiatement.
#6 : Vulnérabilités de tiers
Pour terminer, arrêtons-nous sur une menace de plus en plus courante : les vulnérabilités de tiers. Il ne s'agit pas d'un type de fraude spécifique, mais d'un ensemble plus large de menaces dont les organisations doivent prendre conscience. Et en particulier les entreprises concernées par la directive NIS2 de l'UE.
À partir d'octobre 2024, NIS2 exigera de nombreuses entreprises de l'UE qu’elles soient vigilantes à l'égard des pratiques de cybersécurité de leurs fournisseurs et prestataires de services. Sans quoi, elles risquent des amendes, des poursuites judiciaires et autres sanctions.
Concrètement, NIS2 impose aux entreprises d’évaluer le niveau de conformité des acteurs de leur supply chain ; analyse des risques, plan de réponse aux incidents ou encore cryptographie et cryptage. Si les entreprises détectent des vulnérabilités chez des tiers, elles devront les corriger par des mesures de sécurité appropriées.
Ces contrôles ne concernent pas seulement les obligations légales, mais l’engagement commun pour la cybersécurité de l'ensemble de votre réseau. Regardez la violation de données d'Okta en 2021, due à des vulnérabilités chez Sykes, un fournisseur de services d'assistance à la clientèle sous contrat avec Okta. Cet exemple montre bien l'importance que la politique de cybersécurité soit aussi appliquée par les tiers.
Comment protéger votre équipe (et votre réseau d'entreprise)
Les contrôles de cybersécurité effectués par des tiers participent à la sécurité du réseau de votre entreprise. Veillez à :
- Examiner leurs mesures de protection : vérifiez si les mesures de cybersécurité de vos fournisseurs et prestataires de services peuvent entraîner des vulnérabilités.
- Remédier à ces vulnérabilités : en prenant des mesures de sécurité appropriées, surtout s’il s'agit de données clients.
- Définir une stratégie de mise en conformité NIS2 : les entreprises concernées par NIS2 peuvent avoir besoin de renforcer leurs systèmes de gestion des risques ou des vulnérabilités de tiers.
Pour en savoir plus, n'oubliez pas de télécharger notre checklist de conformité NIS2.
Maîtriser les risques cyber grâce à une campagne de sensibilisation efficace
Les hackers essaieront toujours de vous piéger. Mais vous pouvez agir sur votre maillon faible : votre équipe. En effet, 85 % des violations de données réussies impliquent une erreur humaine. C'est pourquoi vous avez intérêt à créer une forte sensibilité autour des enjeux de cybersécurité.
Chez Riot, nous proposons des cours interactifs pour sensibiliser votre équipe aux dernières menaces en matière de cybersécurité, et notamment aux deepfakes et aux arnaques WhatsApp. Plus encore, vous pourrez évaluer le niveau de chacun, savoir quels employés sont vos atouts et qui, au contraire, aurait besoin de plus d'accompagnement.
Pour savoir comment Albert peut vous aider, vous et votre équipe, à maîtriser ces six menaces grâce à une formation qui change réellement la donne et (disons-le) amusante, contactez l'un de nos experts dès aujourd'hui.