Tous les pirates informatiques le savent, les utilisateurs sont à l’origine de la majorité des problèmes informatiques dans les entreprises. Ces personnes malintentionnées n’ont généralement qu’un objectif : mettre la main sur vos données personnelles en utilisant des techniques d’hameçonnage (« phishing ») ou d’escroquerie de type « fraude 419 » (ou « scam »). Ces techniques d’arnaques par messagerie électronique, évoluent constamment et peuvent mettre en danger la sécurité informatique de votre entreprise.
Arnaque par email : Notre check-list sécurité en 7 points de vigilance
Nous vous avons donc préparé une liste de points d’attention qui vous aidera à déterminer rapidement si un message est sécurisé ou non. Vous deviendrez ainsi un premier rempart efficace contre les ransomwares ou les cryptovirus. Bien évidemment, ces conseils peuvent également s’appliquer dans un cadre privé.
1. La personnalisation du message
Le message que vous venez de recevoir vous est-il réellement destiné ? En règle générale, les messages malveillants sont envoyés à un grand nombre de destinataires, et ne sont pas ou peu personnalisés. Si le message évoque un dossier, une facture ou un sujet qui ne vous parle pas, il s’agit certainement d’un message malveillant.
2. L’identité de l’expéditeur
Soyez particulièrement vigilant sur les messages provenant d’une adresse électronique que vous ne connaissez pas, même si, nous le verrons plus loin, l’adresse email de l’expéditeur n’est pas forcément un gage de sécurité.
3. Le niveau de langage du message
Soyez également attentif au niveau de langage utilisé dans l’email. Même si cela s’avère de moins en moins vrai, certains courriels malveillants ne sont pas rédigés correctement. Si le message contient des erreurs de frappe, des fautes d’orthographe ou des expressions inappropriées, il y a peu de chances qu’il provienne d’un organisme crédible (banque, administration …).
4. Les liens
Avant de cliquer sur un éventuel lien, vérifiez l’URL de destination en le survolant avec votre souris. Apparaîtra alors l’adresse complète. Assurez-vous que ce lien est cohérent et pointe vers un site légitime. Soyez particulièrement vigilant aux noms de domaine de type « impots.gouvv.fr », « impots.gouvfr.biz » ou « infocaf.org » au lieu de « www.caf.fr » par exemple. A noter qu’il est beaucoup plus compliqué d’effectuer cette manipulation depuis un écran de smartphone. Dans ce cas, au moindre doute, abstenez-vous et transférez simplement le message à votre service informatique.
5. La nature de la demande
Méfiez-vous des demandes « étranges » ou paraissant peu légitimes. Rappelez-vous qu’aucun organisme n’a le droit de vous demander votre code de carte bancaire, vos codes d’accès ou votre mot de passe. Ne transmettez jamais d’informations confidentielles, même à la demande d’une personne qui prétendrait faire partie de votre entourage. Si c’est le cas, assurez-vous auprès de cette personne qu’elle est bien à l’origine du message.
6. L’adresse de messagerie
Attention, contrairement à ce que l’on pourrait penser, l’adresse électronique de l’expéditeur n’est pas un critère de fiabilité. Une adresse de messagerie provenant d’un ami, de votre entreprise, d’un collaborateur peut être facilement usurpée. Seule une investigation poussée peut permettre de confirmer ou non la source d’un courrier électronique. C’est pourquoi, si le message semble provenir d’une source « sécurisée » mais qu’il fait référence à des informations sensibles, contactez l’expéditeur sur un autre canal (téléphone, SMS…) pour vous assurer qu’il est bien à l’origine du message.
7. Le lien avec l’expéditeur
Dernier point d’attention, posez-vous toujours la question du lien que vous entretenez avec l’expéditeur. Il est en effet très courant de recevoir un message malveillant, personnalisé, très bien réalisé, provenant d’une banque avec laquelle vous n’avez aucun contrat, ou de tout autre organisme avec lequel vous n’avez aucun lien, et qui vous propose pourtant de vous connecter à votre compte client ou de télécharger un document. Encore une fois, prenez simplement du recul, il s’agit très certainement d’un message malveillant.
Vous pensez avoir repéré un message malveillant, comment réagir ?
En règle générale, si vous avez un doute sur un message reçu, il y a de fortes chances que celui-ci ne soit pas légitime et donc dangereux. Dans ce cas :
- N’ouvrez pas les pièces jointes, ne cliquez pas sur les liens et ne répondez-pas au message ;
- Si vous connaissez l’expéditeur, contactez-le via votre canal habituel pour vérifier s’il est réellement l’auteur de ce message ;
- Si l’escroquerie que vous souhaitez signaler provient d’un spam, rendez-vous sur www.signal-spam.fr ;
- S’il s’agit de votre compte de messagerie professionnel, transférez le message au service informatique pour vérification. Attendez leur réponse avant de supprimer le courrier électronique.
- Enfin, supprimez le message puis videz la corbeille de votre messagerie ;
On ne le répétera jamais assez, mais le système informatique d’une entreprise est au cœur de son bon fonctionnement, il est donc impératif de limiter les actions à risque chez les utilisateurs. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information) 80% des incidents de sécurité informatique sont liés à l’humain. Rien d’étonnant lorsque l’on sait que le taux de clic sur un email de type phishing est compris, selon plusieurs études, entre 20 et 30%. C’est pourquoi le rôle du responsable informatique est plus que jamais d’assurer un travail de prévention et de formation des utilisateurs. Une mission vitale pour des entreprises globalement de plus en plus exposées à la cybercriminalité.
(Article initialement publié le 6 mai 2019 | Mis à jour le 7 octobre 2021)