Tout ce que vous devez savoir sur le phishing

L'hameçonnage reste l'une des cyberattaques les plus courantes utilisées par les acteurs malveillants. La plupart des entreprises l'ont constaté à l'œuvre : des courriels demandant une « tâche urgente » ou un « paiement en retard », parfois même en imitant un PDG ou un cadre supérieur. D'ailleurs, le gouvernement britannique Enquête sur les atteintes à la cybersécurité en 2025 ont constaté que, parmi les entreprises ou les organismes de bienfaisance qui ont subi une interruption ou une attaque au cours des 12 derniers mois, 85 % des entreprises et 86 % des organismes de bienfaisance ont subi des attaques de phishing.

Dans ce blog, nous plongeons dans le monde trouble du phishing : ce que c'est, comment identifier les tentatives potentielles de phishing et comment les organisations peuvent s'en protéger.

Attaques de phishing courantes ciblant les entreprises

Phishing email

Lors d'attaques de phishing par e-mail, les pirates envoient à leurs cibles des e-mails frauduleux, se faisant souvent passer pour des entreprises ou des fournisseurs connus. L'objectif ? Inciter les victimes à consulter un site web frauduleux, à ouvrir une pièce jointe contenant un virus ou un logiciel malveillant, ou à partager des informations sensibles comme leurs coordonnées bancaires ou les mots de passe de leurs comptes professionnels.

Voici quelques exemples à surveiller :

• Factures inattendues
• E-mails provenant d'expéditeurs inconnus avec pièces jointes
• Alertes d'activité inhabituelle avec des liens vers des sites Web externes.

Spear Phishing

Le spear phishing est une approche plus ciblée du phishing par e-mail. Il utilise des informations facilement accessibles sur une entreprise, comme le nom des employés, pour usurper l'identité de communications internes et de sources fiables. Il est essentiel de vérifier l'identité de l'expéditeur par un autre moyen de communication, comme Teams ou un appel téléphonique avec un numéro vérifié.

Voici quelques exemples à surveiller :

• Des e-mails « urgents » inattendus prétendant provenir de vos services RH ou informatiques
• Des demandes inhabituelles, provenant soi-disant de quelqu'un au sein de votre entreprise.

Compromis Courriel D'entreprise

Compromis des e-mails professionnels (BEC) Les attaques de phishing sont une autre approche ciblée et malveillante, utilisant parfois de fausses adresses e-mail, voire la compromission de comptes e-mail d'employés. Elles ciblent souvent des personnes de confiance ou des responsables de budget, en les incitant à effectuer des transactions financières frauduleuses ou à divulguer des informations sensibles. Les criminels peuvent même compromettre un fournisseur ou un prestataire en lui envoyant des factures apparemment légitimes. Le BEC est si répandu que le FBI a affirmé que Les attaques BEC ont coûté près de 55.5 milliards de dollars aux organisations américaines et mondiales entre le 2013 octobre et le 2023 décembre.

Voici quelques exemples de tentatives de BEC :

• Fraude au PDG : Courriels « urgents », provenant soi-disant de l'adresse électronique d'un cadre supérieur, mais en réalité contrôlés par l'acteur de la menace
• Arnaques aux factures : Factures fausses ou modifiées qui redirigent les paiements vers le compte d'un attaquant
• Fraude de tiers : Factures inattendues ou demandes de modification des coordonnées bancaires de vos fournisseurs existants, indiquant un compromis potentiel.

Clonage d'hameçonnage

Les attaquants utilisant le phishing clone prennent un véritable e-mail et le copient presque à l'identique, puis le renvoient à la victime visée avec une nouvelle pièce jointe ou un nouveau lien malveillant. Les acteurs malveillants utilisent souvent de faux e-mails dont l'orthographe est similaire à celle de l'e-mail qu'ils usurpent. Cependant, ils peuvent recourir à des techniques sophistiquées d'usurpation d'identité pour faire croire que l'e-mail provient d'un expéditeur légitime.

Voici quelques exemples à surveiller :

• E-mails en double, en particulier ceux contenant des liens nouveaux ou modifiés.

Comment identifier les e-mails de phishing

Bien que la lutte contre le phishing puisse sembler une tâche insurmontable, il existe plusieurs façons d’identifier les e-mails de phishing.

Domaines de messagerie incompatibles : Le domaine de l'adresse e-mail est-il identique à celui de l'entreprise que l'expéditeur prétend représenter ? Par exemple, une adresse e-mail officielle d'ISMS.online serait : prénom.nom@ISMS.online, support@isms.online, etc.

Appels urgents à l’action : Les courriels incitant à une action urgente ou immédiate peuvent être des tentatives d'hameçonnage ; un faux sentiment d'urgence vise à affoler le destinataire. Envisagez de contacter l'expéditeur par des moyens officiels, par exemple en consultant son numéro de téléphone sur le site web officiel de l'entreprise.

Épellation et grammaire: Des fautes d’orthographe et de grammaire peuvent indiquer une tentative d’hameçonnage, car de nombreuses entreprises disposent d’outils de vérification orthographique dans leur logiciel de messagerie.

Liens En passant votre souris sur un lien, vous pouvez afficher l'URL vers laquelle il vous redirige. Dans les e-mails d'hameçonnage, cette URL est souvent différente du texte affiché.

Demandes d'envoi d'informations personnelles ou financières : Les identifiants de connexion, les informations de paiement et autres données sensibles ne doivent pas être partagés par e-mail. De même, si un e-mail contient un lien vers un site web externe permettant de saisir ces informations, assurez-vous de la légitimité de ce site.

Protégez votre organisation contre les attaques de phishing avec la norme ISO 27001

Établir les meilleures pratiques en matière de cybersécurité, telles que celles décrites dans la norme de sécurité de l'information ISO 27001, permet à votre entreprise de réduire les risques, de renforcer la sécurité et de limiter l'impact des attaques de phishing.

Formation et sensibilisation des employés

Vos employés sont votre première ligne de défense en matière de cybersécurité. La mise en place d'un programme de formation et de sensibilisation à la cybersécurité peut permettre à votre équipe d'identifier et de signaler les tentatives potentielles de phishing, ainsi que d'autres cyberattaques.

Votre programme de formation et de sensibilisation doit également définir les processus à suivre, notamment la procédure à suivre par les employés pour signaler les tentatives de phishing suspectées. Former vos équipes à reconnaître les signes d'une attaque de phishing et garantir que votre entreprise dispose de processus de signalement et de réponse rigoureux contribue à une sécurité renforcée.

Contrôle d'Accès

Limitez les droits et privilèges des employés selon la méthode du « minimum privilège ». Par exemple, limitez l'accès d'un utilisateur standard aux seules ressources nécessaires à son travail. Cela permet de réduire l'impact d'une tentative d'hameçonnage sur votre organisation en cas de compromission d'un compte.

De plus, exiger des contrôles tels que l’authentification multifacteur sur les comptes du personnel peut fournir une défense clé contre les accès non autorisés et les informations d’identification compromises.

Réponse aux incidents

Les entreprises conformes à la norme ISO 27001 doivent mettre en place des processus de réponse aux incidents. Ces processus incluent la collecte de preuves, l'analyse forensique de la sécurité des informations, la remontée des informations auprès des clients et des autorités de contrôle compétentes, la journalisation des activités de réponse aux incidents, la communication interne, la résolution des incidents et l'analyse post-incident. Une réponse efficace aux incidents permet une résolution plus rapide et une atténuation de l'impact des attaques réussies.

Configuration sécurisée

La norme exige des entreprises qu'elles intègrent la sécurité dès le départ à leurs opérations, plutôt que de la négliger. Cette approche réduit les points d'entrée potentiels pour les acteurs malveillants, par exemple via des solutions de passerelle de messagerie non sécurisées.

Gestion des fournisseurs tiers

Nos Rapport sur l’état de la sécurité de l’information 2024 Une étude a révélé que près de quatre répondants sur cinq (79 %) avaient été touchés par un incident de cybersécurité ou de sécurité informatique causé par un fournisseur tiers ou un partenaire de la chaîne d'approvisionnement. Adopter une approche fondée sur les risques dans les relations avec les fournisseurs peut contribuer à limiter l'impact de tels incidents.

Par exemple, votre entreprise peut choisir de privilégier fortement la collaboration avec des fournisseurs certifiés ISO 27001, de limiter l'accès des fournisseurs aux informations en fonction des niveaux de classification des informations et de suivre les risques liés aux fournisseurs si l'intégration d'un fournisseur est susceptible d'affecter la confidentialité, l'intégrité et la disponibilité des informations ou des processus de votre organisation.

Pensée finale

L'hameçonnage (phishing) est une forme répandue de cyberattaque ; heureusement pour les entreprises, de nombreux signes sont faciles à repérer. La formation continue des employés, la mise en œuvre des meilleures pratiques de sécurité et une approche rigoureuse de la sécurité des informations peuvent réduire la probabilité – et l'impact – des attaques d'hameçonnage réussies. les violations de données.

Alors que les cybermenaces continuent d’évoluer, les entreprises proactives qui mettent en œuvre une approche multicouche de la sécurité de l’information et permettent à leurs employés d’agir comme leur première et plus importante ligne de défense en récolteront sans aucun doute les fruits.