Temps de lecture : 8 minutes<\/strong> | Cat\u00e9gorie : Cybers\u00e9curit\u00e9 & Formation<\/p>\n Un email en apparence banal, un lien cliqu\u00e9 sans r\u00e9fl\u00e9chir, et c’est toute l’infrastructure informatique d’une entreprise qui peut \u00eatre compromise. Le phishing (ou hame\u00e7onnage) est aujourd’hui l’origine de plus de 80 % des cyberattaques r\u00e9ussies contre les entreprises.<\/strong><\/p>\n Et contrairement aux id\u00e9es re\u00e7ues, les cibles ne sont pas uniquement les grandes organisations. Les PME sont de plus en plus vis\u00e9es, pr\u00e9cis\u00e9ment parce que leurs employ\u00e9s sont souvent moins form\u00e9s et moins m\u00e9fiants.<\/p>\n La meilleure d\u00e9fense contre le phishing ? La formation et la sensibilisation des \u00e9quipes.<\/strong> Car aucun logiciel de s\u00e9curit\u00e9, aussi performant soit-il, ne peut compenser un clic humain imprudent.<\/p>\n Le phishing est une technique d’ing\u00e9nierie sociale<\/strong> : les cybercriminels se font passer pour une entit\u00e9 de confiance (banque, fournisseur, DRH, direction g\u00e9n\u00e9rale, administration) afin de soutirer des informations sensibles ou de faire ex\u00e9cuter une action dangereuse.<\/p>\n Email de phishing classique :<\/strong> Un email imitant votre banque, votre op\u00e9rateur t\u00e9l\u00e9phonique ou un service public vous demande de \u00ab\u00a0v\u00e9rifier votre compte\u00a0\u00bb en cliquant sur un lien. Le lien m\u00e8ne vers un faux site qui vole vos identifiants.<\/p>\n Spear phishing (phishing cibl\u00e9) :<\/strong> Une attaque personnalis\u00e9e qui utilise des informations sur votre entreprise ou sur vous sp\u00e9cifiquement (nom, poste, nom de votre responsable) pour para\u00eetre encore plus cr\u00e9dible. Tr\u00e8s difficile \u00e0 d\u00e9tecter.<\/p>\n Whaling (attaque \u00e0 la baleine) :<\/strong> Variante du spear phishing visant sp\u00e9cifiquement les dirigeants d’entreprise (PDG, DAF) pour obtenir des virements ou des acc\u00e8s critiques.<\/p>\n Smishing :<\/strong> Phishing par SMS. Un message pr\u00e9tend \u00eatre La Poste, les imp\u00f4ts ou un service de livraison et demande de cliquer sur un lien.<\/p>\n Vishing :<\/strong> Phishing par appel t\u00e9l\u00e9phonique. Un faux \u00ab\u00a0technicien informatique\u00a0\u00bb ou un \u00ab\u00a0conseiller bancaire\u00a0\u00bb demande des informations sensibles ou des acc\u00e8s \u00e0 distance.<\/p>\n Business Email Compromise (BEC) :<\/strong> Un cybercriminel usurpe l’adresse email de votre directeur g\u00e9n\u00e9ral ou d’un fournisseur pour ordonner un virement frauduleux. Ce type d’arnaque co\u00fbte des millions d’euros chaque ann\u00e9e aux entreprises fran\u00e7aises.<\/p>\n Former ses employ\u00e9s, c’est leur apprendre \u00e0 rep\u00e9rer les indices r\u00e9v\u00e9lateurs. Voici les 10 signaux d’alerte<\/strong> \u00e0 conna\u00eetre absolument :<\/p>\n Regardez attentivement l’adresse compl\u00e8te de l’exp\u00e9diteur, pas seulement le nom affich\u00e9. \u00ab\u00a0Votre compte sera suspendu dans 24h\u00a0\u00bb, \u00ab\u00a0Action requise imm\u00e9diatement\u00a0\u00bb, \u00ab\u00a0Paiement en retard\u00a0\u00bb\u2026 Les phishers cr\u00e9ent d\u00e9lib\u00e9r\u00e9ment une pression pour court-circuiter votre r\u00e9flexion.<\/p>\n Les emails de phishing contiennent souvent des fautes, des formulations maladroites ou un fran\u00e7ais approximatif. Une entreprise s\u00e9rieuse ne vous enverrait pas un email plein d’erreurs.<\/p>\n Passez votre souris sur le lien sans cliquer<\/strong> : l’URL r\u00e9elle s’affiche en bas de votre navigateur ou dans une info-bulle. Si l’URL semble bizarre ou ne correspond pas au domaine officiel de l’organisation, ne cliquez pas.<\/p>\n Votre banque ne vous demandera jamais votre mot de passe par email. Votre direction g\u00e9n\u00e9rale ne vous ordonnera jamais un virement urgent par email sans validation t\u00e9l\u00e9phonique pr\u00e9alable.<\/p>\n M\u00e9fiez-vous des pi\u00e8ces jointes non sollicit\u00e9es, surtout les fichiers .exe, .zip, .docm (Word avec macros), ou les PDFs d’exp\u00e9diteurs inconnus.<\/p>\n \u00ab\u00a0Cher client\u00a0\u00bb, \u00ab\u00a0Madame, Monsieur\u00a0\u00bb, sans votre nom \u2014 les entreprises l\u00e9gitimes avec qui vous avez un compte connaissent votre identit\u00e9.<\/p>\n Si un email vous demande de \u00ab\u00a0vous connecter pour v\u00e9rifier\u00a0\u00bb quelque chose, ouvrez votre navigateur et allez directement sur le site officiel en tapant l’adresse vous-m\u00eame. Ne passez jamais par le lien de l’email.<\/p>\n Vous avez gagn\u00e9 un prix, vous \u00eates s\u00e9lectionn\u00e9 pour une offre exclusive, un h\u00e9ritage vous attend \u00e0 l’\u00e9tranger\u2026 Ces classiques fonctionnent encore.<\/p>\n Les cybercriminels peuvent usurper votre propre adresse email pour vous faire croire qu’ils ont acc\u00e8s \u00e0 votre compte et vous faire chanter.<\/p>\n Avant de former, mesurez le niveau de risque actuel. Des outils permettent d’envoyer de faux emails de phishing<\/strong> \u00e0 vos \u00e9quipes pour mesurer le taux de clics. Ce n’est pas une sanction \u2014 c’est un diagnostic objectif.<\/p>\n Organisez des formations courtes et r\u00e9guli\u00e8res<\/strong> (30 \u00e0 60 minutes) plut\u00f4t qu’une grande formation annuelle vite oubli\u00e9e. Les formats les plus efficaces :<\/p>\n Les campagnes de phishing simul\u00e9<\/strong> sont aujourd’hui l’outil le plus efficace pour former les \u00e9quipes. Concr\u00e8tement :<\/p>\n Outils recommand\u00e9s :<\/strong> KnowBe4, Proofpoint Security Awareness, Sophos Phish Threat, Gophish (open source).<\/p>\n Vos employ\u00e9s doivent savoir exactement quoi faire s’ils re\u00e7oivent un email suspect :<\/p>\n Cr\u00e9ez un bouton ou une adresse email d\u00e9di\u00e9e pour signaler facilement les tentatives de phishing. Plus le signalement est simple, plus il sera utilis\u00e9.<\/p>\n Les techniques de phishing \u00e9voluent constamment. Une formation faite il y a deux ans est d\u00e9j\u00e0 partiellement obsol\u00e8te. Mettez \u00e0 jour vos contenus r\u00e9guli\u00e8rement et organisez des rappels au moins deux fois par an.<\/p>\n La formation humaine doit \u00eatre compl\u00e9t\u00e9e par des mesures techniques<\/strong> :<\/p>\n La r\u00e9action rapide est cruciale. Voici les \u00e9tapes \u00e0 suivre imm\u00e9diatement :<\/p>\n \u26a0\ufe0f Important :<\/strong> Ne culpabilisez pas l’employ\u00e9 qui a cliqu\u00e9. Cela nuirait \u00e0 la culture de signalement, qui est essentielle \u00e0 votre s\u00e9curit\u00e9. L’objectif est d’apprendre, pas de sanctionner.<\/p><\/blockquote>\n Le phishing est une menace permanente, mais une \u00e9quipe bien form\u00e9e est votre meilleure protection<\/strong>. Des employ\u00e9s vigilants, capables d’identifier les signaux d’alerte et de suivre les bonnes proc\u00e9dures, peuvent d\u00e9jouer la grande majorit\u00e9 des tentatives d’hame\u00e7onnage.<\/p>\n Investir dans la formation \u00e0 la cybers\u00e9curit\u00e9, c’est investir dans la r\u00e9silience de votre entreprise. Et avec l’aide d’un partenaire informatique sp\u00e9cialis\u00e9, mettre en place un programme de sensibilisation efficace est plus simple et moins co\u00fbteux qu’on ne le pense.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Phishing : Comment former ses employ\u00e9s \u00e0 Reconna\u00eetre les Arnaques<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1304","post","type-post","status-publish","format-standard","hentry","category-blog"],"yoast_head":"\n
\nIntroduction<\/h2>\n
\nQu’est-ce que le Phishing Exactement ?<\/h2>\n
Les Formes les Plus Courantes<\/h3>\n
\nLes Signaux d’Alerte : Comment Reconna\u00eetre un Email de Phishing ?<\/h2>\n
\ud83d\udea8 1. L’Adresse Email de l’Exp\u00e9diteur est Suspecte<\/h3>\n
contact@microsoft-support-fr.com<\/code> n’est pas Microsoft. noreply@orange-facture.net<\/code> n’est pas Orange.<\/p>\n\ud83d\udea8 2. Le Sentiment d’Urgence ou de Peur<\/h3>\n
\ud83d\udea8 3. Les Fautes d’Orthographe et de Grammaire<\/h3>\n
\ud83d\udea8 4. Un Lien qui ne Correspond pas \u00e0 ce qu’il Pr\u00e9tend \u00eatre<\/h3>\n
\ud83d\udea8 5. Une Demande Inhabituelle ou Inappropri\u00e9e<\/h3>\n
\ud83d\udea8 6. Une Pi\u00e8ce Jointe Inattendue<\/h3>\n
\ud83d\udea8 7. Le Ton est Trop G\u00e9n\u00e9rique<\/h3>\n
\ud83d\udea8 8. L’Email vous Redirige vers une Page de Connexion<\/h3>\n
\ud83d\udea8 9. L’Offre est Trop Belle pour \u00eatre Vraie<\/h3>\n
\ud83d\udea8 10. Vous Recevez un Email de Vous-m\u00eame<\/h3>\n
\nComment mettre en place un programme de formation Anti-Phishing ?<\/h2>\n
\u00c9tape 1 : R\u00e9aliser un Audit de Vuln\u00e9rabilit\u00e9<\/h3>\n
\u00c9tape 2 : Organiser des Sessions de Sensibilisation<\/h3>\n
\n
\u00c9tape 3 : Simuler des Attaques de Phishing R\u00e9guli\u00e8rement<\/h3>\n
\n
\u00c9tape 4 : \u00c9tablir une Proc\u00e9dure Claire en cas de Doute<\/h3>\n
\n
\u00c9tape 5 : Former en Continu et Adapter les Contenus<\/h3>\n
\nLes Bonnes Pratiques Techniques Compl\u00e9mentaires<\/h2>\n
\n
\nQue faire si un employ\u00e9 a Cliqu\u00e9 sur un Lien de Phishing ?<\/h2>\n
\n
\nConclusion<\/h2>\n