Les attaques cybers constituent une menace croissante pour les entreprises, grandes ou petites. Malheureusement, les PME ne sont pas à l’abri de ces menaces. En France, elles représentent près de 50% des cyberattaques enregistrées alors que 86% d’entre elles ne possèdent pas de politique de cybersécurité. Cette réalité met en évidence l’urgence pour les PME de prendre des mesures pour se protéger contre les cybers attaques, car les conséquences peuvent être dévastatrices, avec 10% d’entre elles ne parvenant jamais à se relever d’une telle attaque.
Dans l’univers virtuel, les pirates se déploient avec une audace sans limite, envoyant des milliers de courriels frauduleux grâce à des listes d’adresses électroniques dérobées sur le darknet. Leur regard est fixé sur les PME, sachant pertinemment que ces entreprises sont souvent moins protégées que les grands groupes, bien que certaines aient recours à des tiers de confiance pour assurer leur cybersécurité.
Un exemple éloquent est survenu en juillet 2022 lorsqu’une campagne de phishing a utilisé une astuce sournoise en usurpant la page Instagram de l’entreprise. Les pirates ont exploité le programme de vérification de cette plateforme de médias sociaux pour duper leurs victimes. Ce qui est encore plus préoccupant, c’est que ces courriels de phishing affichaient les noms d’utilisateur réels des cibles, témoignant du temps considérable investi par les pirates dans la recherche minutieuse de leurs cibles avant chaque attaque.
L’hameçonnage, toujours la menace la plus présente
En 2021, les rançongiciels (ou ransomwares) constituaient près d’un quart (24%) des requêtes émanant des PME et des associations, représentant ainsi une préoccupation majeure en matière de sécurité informatique. Cependant, en 2022, cette menace a reculé de deux places dans le classement, laissant la première marche du podium à l’hameçonnage (27%) suivi du piratage de compte (22%). Ces deux types d’attaques connaissent une croissance soutenue, dépassant ainsi les ransomwares en termes de fréquence.
Derrière ce trio de tête, on retrouve les attaques de violation de données et les faux ordres de virement, chacun totalisant 8% des requêtes. Viennent ensuite le déni de service (DDoS) et la défiguration de site web, à 4% chacun.
Enfin, le piratage informatique, le faux support technique et les virus ferment la marche avec chacun 2% des cas de malveillances signalées. Bien que ces chiffres puissent sembler inférieurs en comparaison avec les autres types d’attaques, ils ne doivent pas être négligés, car ces formes de cybermenaces peuvent également causer des dommages considérables aux entreprises et associations concernées.
Les différents types de phishing :
Les BEC (Business Email Compromise) et EAC (Email Account Compromise) sont des formes d’escroquerie qui ciblent les comptes de messagerie d’entreprises légitimes. Ces attaques utilisent des techniques d’ingénierie sociale (méthode de manipulation psychologique utilisée pour obtenir des informations confidentielles, influencer les comportements ou tromper les individus en se faisant passer pour quelqu’un d’autre) ou d’intrusion informatique pour compromettre les comptes et effectuer des transferts de fonds non autorisés.
Le spear phishing est une forme avancée d’escroquerie par email, ciblant une personne spécifique. Les cybercriminels collectent préalablement des données personnelles, telles que le nom, l’entreprise, la fonction, l’adresse électronique, etc. de leur cible. Ils exploitent les informations trouvées en ligne, notamment sur les réseaux sociaux, pour personnaliser leurs attaques. Ces données leur permettent de cibler efficacement leurs victimes en utilisant des messages frauduleux spécifiquement adaptés à leurs intérêts, leur localisation, leur liste d’amis et même les produits qu’ils ont récemment achetés.
Avec les données personnelles en main, le cybercriminel peut s’adresser à l’individu par son nom et lui demander d’ouvrir une pièce jointe malveillante ou de cliquer sur un lien qui l’amène à un site web usurpé où il lui est demandé de fournir des noms d’utilisateur, des codes d’accès, des numéros de compte bancaire, des codes de tri, des codes PIN, etc.
Le whaling phishing (ou fraude au président) est une tactique utilisée par les cybercriminels pour se faire passer pour une figure importante au sein d’une organisation. Ils sollicitent ensuite un employé en lui demandant un service, tout en ayant pour objectif de voler de l’argent, des informations sensibles ou de compromettre les systèmes informatiques à des fins criminelles.
Ces emails de whaling sont hautement sophistiqués, exploitant habilement la volonté des employés de suivre les instructions de leurs supérieurs. Les destinataires peuvent parfois suspecter quelque chose d’anormal, mais ils hésitent à confronter l’expéditeur par crainte de conséquences professionnelles. Cette manipulation psychologique joue un rôle crucial dans le succès de ces attaques sournoises.
La dissimulation de documents et d’hyperliens est une vieille tactique privilégiée des cybercriminels pour piéger les utilisateurs. Ils camouflent des pièces jointes malveillantes en les faisant passer pour des factures, attirant ainsi l’attention des destinataires. Au fil des années, de nouvelles tactiques ont émergé, telles que l’envoi de pièces jointes dissimulées sous l’apparence de documents numérisés par des imprimantes de bureau, de faux messages d’échec de livraison de courrier électronique, de confirmations de commande et de paiement, ainsi que de confirmations de vols très spécifiques. Ces méthodes visent à tromper les utilisateurs en leur faisant croire que les pièces jointes sont légitimes, les incitant ainsi à les ouvrir, ce qui expose les systèmes informatiques et les données sensibles aux attaques malveillantes.
Le phishing et l’usurpation de marque sont des tactiques malveillantes où les cybercriminels se font passer pour une entreprise, une marque ou un domaine de confiance dans le but de tromper les victimes et les inciter à divulguer des informations personnelles ou sensibles. Ces attaques d’usurpation d’identité exploitent la confiance des utilisateurs envers des marques connues pour les amener à répondre à des emails ou à des sites Web frauduleux, entraînant ainsi le vol d’informations confidentielles.
L’entreprise la plus souvent usurpé pour tromper la vigilance des utilisateurs est LinkedIn, suivie de près par les GAFAM et les sociétés de transports comme DHL ou FedEx.
Les principaux coûts inhérents à une cyber-attaque pour une PME :
Comment se prémunir ?
- Les PME doivent dédier un budget à la cybersécurité (idéalement 2% à 3% de leur CA), cet investissement peut paraître coûteux mais il n’est rien comparé aux pertes que peut provoquer une attaque informatique (rançon, arrêt de production, image de marque…) qui atteignent en moyenne entre 300.000€ et 500.000€.
- La plupart des PME n’ont ni DSI ni RSSI. Dans ce cas, elles doivent externaliser la gestion de leur cybersécurité chez un tiers de confiance.
- Les PME doivent souscrire à une cyber assurance et doivent donc mettre en place des solutions de protections telles qu’un EDR et du Service Managé. Chercher à s’assurer sera, pour une PME, l’occasion de réaliser un audit cyber.
- Les PME doivent sensibiliser leurs employés afin qu’ils développent les bons reflexes en termes de cybersécurité et soient le premier rempart face aux pirates informatiques. Le Phishing reste la menace la plus prédominante (30%). 70% des problèmes de sécurité impliquent directement les employés et dans 90% des cas les cyber attaques commencent par l’ouverture d’un mail.
Comment trouver le bon tiers de confiance ?
Il existe une multitude d’acteurs sur le marché des services managés. La plateforme gouvernementale Cybermalveillance met à disposition un large catalogue de prestataires spécialisés en cybersécurité.
Chez AntemetA, nous protégeons vos données pour vous aider à faire face aux cyber-menaces. Nous avons fait des choix : la mise en place d’une cellule RSSI, la certification ISO 27001 de nos services Cloud, la création d’un SOC, la sensibilisation des équipes…
L’expérience acquise et l’apprentissage continu des cyber-menaces, nous permettent de vous aider pleinement à « cyber-sécuriser » votre entreprise.
SOURCES :
Les attaques de phishing en hausse de plus de 31 % au 3 trimestre 2022 – Le Monde Informatique
PME, comment faire face à la cybermenace ? (journaldunet.com)
Les principales statistiques sur le phishing à connaître en 2023. (usecure.io)
Cybersécurité : l’hameçonnage est la première menace pour les PME | ITespresso.fr