Plus de 3,4 milliards de courriels (e-mail) frauduleux ou d’hameçonnage (phishing) circulent chaque jour. Ce nombre totalise un billion de courriels frauduleux par année. Ces chiffres aident à comprendre comment et pourquoi les employés deviennent des victimes du phishing.

La boîte de réception typique déborde de courriels de collègues, partenaires, amis et proches, fournisseurs tiers, d’infolettres, de publicités et, camouflés parmi ceux-ci, certains en provenance de cybercriminels. À cette surabondance s’ajoutent les journées de travail chargées et la pression pour lire chaque courriel et y répondre.

C’est précisément pourquoi vous devez fournir à vos employés de l’information concrète sur la façon de signaler un courriel frauduleux. Dans le cadre de votre formation en sensibilisation au phishing, il est important de rappeler aux employés qu’ils doivent rapporter les courriels de phishing, et vous informer immédiatement qu’ils en ont été une victime.

Comment signaler un courriel frauduleux

Pour signaler un courriel frauduleux, voici les étapes à suivre :

  1. Rapporter le courriel frauduleux au service en TI ou à son gestionnaire

Assurez-vous que vos employés connaissent la politique d’entreprise en sécurité et la façon de rapporter un courriel frauduleux. Dans le cadre de votre campagne en continu pour promouvoir la sensibilisation à la cybersécurité, rappelez aux employés, au moyen d’infolettres envoyées par courriel, d’affiches et d’autres moyens de communication, comment signaler les courriels frauduleux en leur indiquant à qui s’adresser.

  1. Rapporter le courriel frauduleux au fournisseur de service courriel

La plupart des fournisseurs de service courriel proposent des mécanismes intégrés facilitant le signalement de courriels frauduleux. Le bouton de signalement d’un phishing peut être activé dans Outlook, Gmail, Yahoo! et autres.

Si vos employés vérifient leurs courriels personnels au travail, assurez-vous qu’ils ont activé le bouton de signalement d’un phishing) et rappelez-leur qu’ils doivent être proactifs à l’égard de cette menace (même avec leurs courriels personnels).

  1. Rapporter le courriel frauduleux à une instance dirigeante

La majorité des pays ont des instances détenant une autorité pour traiter les courriels fraduleux. Aux États-Unis, ces courriels peuvent être envoyés à Cyber Security and Infrastructure Agency; au Canada, au Centre antifraude du Canada; au Royaume-Uni, à National Fraud, and Cyber Crime Reporting Centre.

  1. Placer l’expéditeur dans la liste des pourriels ou des courriels frauduleux

Ajoutez l’expéditeur du courriel à la liste des auteurs de pourriels ou courriels frauduleux dans votre messagerie courriel. Puis, déplacez tout courriel de cet expéditeur vers la boîte de pourriels ou courriels frauduleux, pour les retirer de la boîte de réception principale.

  1. Supprimer le courriel

Supprimez le courriel, puis videz le dossier des messages supprimés.

Il est très important que vos employés sachent quoi faire lorsqu’ils reçoivent un courriel d’hameçonnage. Facilitez-leur la tâche pour rapporter ce courriel, et mentionnez-leur qu’ils posent ainsi le bon geste.

Qu’est-ce que le phishing?

Pour le rapporter, vous devez d’abord savoir en quoi consiste le phishing, et comment le reconnaître. L’hameçonnage est un cybercrime utilisant les fraudes par courriel, les sites web et les messages texte pour dérober de l’information confidentielle d’entreprise ou personnelle.

Les fraudes par courriels habilement conçues dupent les employés et les poussent à fournir de l’information personnelle comme leur date de naissance, adresse, information de carte de crédit, mots de passe de comptes, et numéro d’assurance sociale. Avec des techniques d’ingénierie sociale, les cybercriminels rédigent des courriels convaincants qui font croire aux victimes que leur courriel est légitime.

Le phishing fonctionne lorsqu’une victime sans méfiance répond à une demande frauduleuse, comme un courriel qui incite à poser un geste. Ce geste peut être de télécharger une pièce jointe, de cliquer sur un lien, de remplir un formulaire, de mettre à jour un mot de passe, ou de confirmer les informations d’une carte de crédit.

Souvent les employés ne reconnaissent pas les signes d’un courriel de phishing, et il est alors très facile de se faire prendre dans le rythme rapide d’une journée de travail. D’où l’importance de leur fournir une formation et de l’éducation pour les sensibiliser à l’hameçonnage. Regardez Pourquoi faire des simulations de phishing? Construisez votre analyse de rentabilisation et découvrez comment construire une analyse de rentabilisation en sensibilisation à l’hameçonnage.

Comment reconnaître un phishing?

Pour savoir reconnaître un courriel frauduleux, rappelez à vos employés qu’il existe six principaux indicateurs d’un courriel frauduleux, auquel il faut surtout éviter de répondre, faire confiance ou cliquer.

Voici les six principaux indicateurs d’une fraude par courriel :

  1. Expéditeur

Les cybercriminels savent que les gens sont occupés et qu’ils n’examinent pas attentivement l’expéditeur d’un courriel. Ces criminels savent aussi que les gens sont naturellement portés à faire confiance, ce qui rend très facile de les faire tomber dans un piège en leur faisant croire que, connaissant l’expéditeur, le courriel doit être légitime.

• Le nom et l’adresse courriel de l’expéditeur sont très faciles à contrefaire.
• Ce n’est pas parce que vous pensez connaître la personne qui envoie le courriel que celui-ci est sécuritaire.

Rappelez à vos employés de toujours vérifier avec attention si le nom et l’adresse courriel de l’expéditeur sont épelés correctement. Conseillez-leur de passer leur souris sur le nom de l’expéditeur du courriel et de vérifier si son nom et son adresse courriel sont légitimes.

  1. Salutation

Normalement, les courriels sont personnalisés et n’utilisent pas de salutation vague comme « Cher client », « Cher consommateur », ou « À qui de droit ». Ces salutations devraient susciter la méfiance, surtout si le courriel provient d’une personne connue ou d’une entreprise où vous avez déjà travaillé.

  1. Contenu

Les cybercriminels savent comment rédiger des courriels au moyen de techniques habiles d’ingénierie sociale qui bernent les gens pour les inciter à agir et croire qu’en répondant ils font la bonne chose.

Rappelez à vos employés de surveiller ces indices dans le contenu d’un courriel, indiquant souvent une fraude :

• Fautes de grammaire et d’orthographe ou phrases mal structurées.
• Langage qui attire l’attention et évoque l’urgence pour créer un sentiment de panique poussant à faire une action. Par exemple, votre compte sera verrouillé si vous ne répondez pas immédiatement.
• Demande d’information confidentielle, personnelle ou d’entreprise. Plusieurs cybercriminels envoient des courriels qui semblent provenir d’une banque, d’un important commerçant en ligne ou d’une instance gouvernementale demandant au destinataire de confirmer un compte, une carte de crédit ou le numéro d’assurance sociale. Aucune organisation légitime ne demandera ce genre d’information par courriel.
• Mot de passe qui doit être réinitialisé immédiatement sous prétexte que l’entreprise a été fraudée ou que sa base de données a été corrompue.

  1. Lien ou bouton

Les attaques par phishing incluent généralement un lien ou un bouton qui dirige le destinataire vers un site web contrefait. Ce faux site a l’air bien réel, mais le nom de domaine n’est pas légitime. Par exemple, un cybercriminel pourrait recréer la page de compte d’Amazon, mais l’URL est amazon.accountsupdate.ca au lieu de amazon.ca/gp/css/homepage.html.

Rappelez à vos employés de ne jamais cliquer sur un lien ou un bouton dans un courriel, et qu’ils doivent plutôt ouvrir un nouvel onglet du navigateur et entrer manuellement l’URL du site web, ou encore utiliser un signet.

  1. Pièce jointe

Les pièces jointes sont utilisées par les cybercriminels pour installer des maliciels sur un ordinateur et, potentiellement, sur le réseau informatique d’entreprise. Ce maliciel peut alors verrouiller l’ordinateur ou le réseau en entier, installer un logiciel qui enregistre les frappes de l’ordinateur et les mots de passe, ou installer un virus capable de corrompre les fichiers, avec une demande de rançon.

Rappelez à vos employés de ne jamais ouvrir les pièces jointes inattendues dans un courriel ou sur une clé USB provenant de l’externe, et éviter d’activer des macros dans des documents en cours de production.

  1.  Information de contact

Les organisations et les employés légitimes demandent une réponse en fournissant des coordonnées pour qu’il soit facile de les contacter. Surveillez attentivement la salutation et cherchez un numéro de téléphone et une adresse, et vérifiez que l’adresse courriel dans la salutation correspond à l’adresse courriel de l’expéditeur.

Rappelez à vos employés qu’en cas de doute sur la légitimité d’un message, ils doivent communiquer avec l’expéditeur pour valider sa demande en utilisant l’information de contact tirée d’une source sûre (p. ex., un site web officiel), et non l’information du courriel comme tel.

Faites valoir à vos employés que d’agir sécuritairement évite bien des regrets. Durant votre formation en sensibilisation à la cybersécurité, faites ressortir clairement que vous voulez que vos employés gardent une certaine méfiance envers les courriels qu’ils reçoivent. Dites-leur qu’il vaut mieux prendre le temps de lire tout le courriel attentivement et, au moindre doute, qu’ils doivent en parler à un cyber héro à l’interne ou au service des TI. Ils doivent se sentir à l’aise de rapporter une situation, et ce, même après avoir cliqué puisque les dégâts pourraient peut-être ainsi être limités.

Comment protéger les employés contre le phishing et les fraudes par courriel

La meilleure façon de protéger les employés contre le phishing, les courriels frauduleux et autres cybercrimes est de renforcer la cybersécurité en communiquant en continu des messages à cet effet. Vos employés sont votre première ligne de défense contre les cybercrimes.

En renforçant la sensibilisation au phishing et en formant des cyber héros à l’interne, vous protégez votre entreprise et vos employés des risques et menaces provenant des quelque 3,4 milliards de courriels de phishing circulant chaque jour.

 


 

Visionnez le webinaire gratuit Pourquoi faire des simulations d’hameçonnage? 

Construisez votre analyse de rentabilisation, qui vous aidera à bâtir votre analyse de rentabilisation et votre formation en sensibilisation à l’hameçonnage.
*Disponible en anglais