Dans un quotidien professionnel où le numérique occupe une place centrale, il est essentiel de bien maîtriser l'utilisation de ses outils et de savoir comment bien les sécuriser. En effet, les cyberattaques sont en constante augmentation et représentent une menace grandissante pour les entreprises, même pour le secteur du tourisme. Surtout que ces dernières touchent des outils du quotidien et nos boîtes mail figurent parmi les cibles privilégiées.
C'est à cet outil que nous nous sommes intéressés avec les collègues de la MONA lors de notre dernier data day annuel. Voici un témoignage des risques qu'on a découvert sur nos boîtes mails et de la méthode qu'on a mis en place pour continuer à se sensibiliser et à agir pour protéger nos courriels.
La messagerie : une vraie cible de piratage
En termes de cyberattaques, il y a autant de cibles que d'outils. Mais la messagerie mail est particulièrement concernée, car elle est aujourd'hui source de nombreuses identifications à des applications tierces ( pour lesquelles on utilise d'ailleurs de plus en plus ce système unique sans changer les mots de passe entre applications). Elle est donc une porte d'entrée stratégique pour les cyberattaquants qui peuvent essayer de s'y immiscer.
Les emails sont souvent cible de hameçonnage, ou autrement dit de phishing, qui désigne le fait d'essayer de vous leurrer pour obtenir des renseignements personnels et les utiliser de façon malveillante. Et ceci, se réalise bien souvent, en se faisant passer pour un tiers de confiance et ainsi en usurpant une identité. En effet, qui n'a jamais reçu un mail d'une adresse email suspecte vous incitant à cliquer sur des liens externes, à ouvrir des pièces jointes inconnue ou encore à communiquer des informations personnelles ? Parmi les cas que l'on retrouve de façon de plus en plus courante il y a : les demandes de correction urgente suite à un problème de paiement ou de facturation, les demandes de mise à jour d'informations confidentielles, les offres exceptionnelles, les appels à l'aide...
comment protéger sa boite mail ?
Mais alors comment se protéger face à ces mails de hameçonnage ou de phishing qui sont ainsi de plus en plus réalistes pour essayer de nous tromper davantage ? La première chose à faire est de connaître les règles de cybersécurité et d' appliquer un principe de prudence pour tous les mails que vous recevez. Voici quelques signaux décrits par Cybermalveillance.gouv dont vous devez vous méfier :
- les expéditeurs inconnus ou les emails inhabituels,
- les contenus (titre ou message) trop aguichants ou alarmistes ou inconnus,
- les fautes d'orthographe, de syntaxe ou de grammaire,
- les mises en page ou liens inhabituels ou les logos non reconnus,
- les incitations à cliquer sur un lien ou une pièce jointe,
- les demandes d'informations confidentielles
En plus de ce principe de méfiance, il faut veiller à appliquer quelques principes de base :
- vérifiez systématiquement l'adresse email complète de l'expéditeur,
- ne communiquez jamais d'informations sensibles par messagerie,
- vérifiez toujours un lien avant de l'ouvrir en survolant avec votre souris pour découvrir l'URL,
- n'utilisez pas systématiquement votre adresse email pour des applications tierces ou veillez à utiliser des mots de passe différents,
Autant de recommandations que vous pouvez retrouver sur le site Cybermalveillance.gouv.fr ou celui de la CNIL avec des fichiers à télécharger et à afficher dans vos bureaux ;-).
Se sensibiliser avec les faux phising
Pour sensibiliser vos collègues, vous pouvez tester en temps réel les réactions de vos collègues face à un mail de faux phishing. Pour cela, vous pouvez réaliser des " Faux Phishing " , une technique que réalise régulièrement des grosses entreprises pour sensibiliser leurs salariés et que nous nous sommes amusés à tester, à notre tour, à la MONA.
Un faux phising consiste à envoyer un mail factice pour tester la réaction du destinataire et en profiter pour le sensibiliser. Mais attention, un test de phising ne se limite pas à envoyer un mail factice et doit se préparer pour maximiser son impact. Pour cela vous pouvez :
- Commencer par définir vos objectifs : évaluer la capacité des utilisateurs à reconnaître une fausse adresse email ? un faux lien ? un faux logo....
- Concevoir un scénario réaliste et adapté à vos objectifs : ici il va falloir être crédible en jouant sur les éléments dont vous devez vous méfier ci-dessus : personnalisation du mail, incitation à agir rapidement...
- Analyser les réactions et sensibilisez : si vos collègues ne détectent pas le faux phishing, profitez-en pour les sensibiliser et leur expliquer comment agir autrement
- Répéter régulièrement : le numérique se met à jour régulièrement, ces arnaques aussi, il est donc essentiel de renouveler ces tests régulièrement pour convaincre et protéger toute les boîtes mails de l'équipe.
Voici un exemple de ce que ça donne, une fois appliqué à notre structure :
Envie d'aller plus loin ? Vous pouvez tester vos connaissances sur le site suivant : https://phishingquiz.withgoogle.com/ (promis c'est un vrai lien) et si vous aussi vous avez réalisé des expériences similaires n'hésitez pas à les partager ;-).