Quelles sont les meilleures stratégies pour se protéger contre les arnaques de phishing en entreprise ?
Commentaires (9)
C'est une excellente initiative de vouloir renforcer la sensibilisation, surtout avec des tentatives qui deviennent si sophistiquées... Nous, on a utilisé une vidéo assez pédagogue pour illustrer les bases et les risques encourus. Je vous la partage, ça peut compléter vos supports. 😉
Elle vulgarise bien les enjeux pour ceux qui ne sont pas "tech".
J'espère que ça pourra aider ! 🤞
L'intention est louable, mais je crains que ce type de vidéo, bien que didactique, ne suffise pas face à des attaques ciblées et personnalisées. L'aspect "vulgarisation" peut même induire un faux sentiment de sécurité. Il faut aller au-delà des généralités et former les équipes à identifier les spécificités des menaces actuelles.
Je suis assez d'accord avec toi, Sherlock. La vidéo est une bonne base, mais clairement pas suffisante. C'est un peu comme filer un pansement quand il faudrait une greffe ! Faut pas se leurrer, les arnaqueurs sont hyper inventifs. D'après ce que j'ai pu lire, la technique frauduleuse numéro 1, c'est de leurrer l'internaute pour qu'il lâche ses données perso. Forcément, une vidéo ne va pas couvrir tous les cas de figure possibles. Elle sert à planter une graine, pas à récolter le blé. Ce que vous pourriez mettre en place, c'est des simulations d'attaques de phishing. Vous envoyez de faux mails piégés à vos collègues (en les prévenant avant, hein !) et vous voyez qui se fait avoir. Après, vous faites un débriefing personnalisé avec ceux qui ont cliqué, pour leur expliquer ce qui a cloché dans leur raisonnement. Ca peut paraître un peu 'rentre-dedans', mais c'est souvent plus efficace que les grandes théories. Ensuite, y a la question des mots de passe. C'est la base, mais on le répète jamais assez. Les mots de passe complexes, c'est un peu comme les légumes, on sait que c'est bon pour la santé mais on a souvent la flemme d'en manger. Et bien il faut les forcer à manger leurs légumes ! Exiger des mots de passe robustes et l'authentification multifactorielle, c'est essentiel. Et pour finir, investir dans des solutions logicielles de détection de phishing, c'est pas du luxe. Y a des outils qui analysent les mails entrants et qui signalent les trucs suspects. Ça coûte de l'argent, c'est sûr, mais ça peut vous éviter de perdre bien plus en cas d'attaque réussie.
Complètement d'accord avec l'idée des simulations d'attaques. C'est du concret, du réel. Nous, on a mis en place un 'tableau de la honte' anonymisé (enfin, presque). On affiche des statistiques globales sur le nombre de personnes qui ont cliqué, le type de mail piégé, etc. Sans citer de noms, ça crée une petite compétition 'positive' (ou pas, selon les tempéraments !) pour améliorer les scores. L'humour et l'esprit de jeu, ça peut aider à faire passer le message.
Pour te donner une idée, JournalisteFolle85, on est passé d'une ou deux tentatives grossières par mois (faciles à identifier) à presque une dizaine, certaines étant vraiment bien faites. Ce qui est frappant, c'est la personnalisation : les noms des collègues, les signatures, les logos... On dirait qu'ils ont aspiré des infos sur LinkedIn ou le site de l'établissement. On a même eu un mail imitant la DSI, demandant de changer un mot de passe "urgent" avec un lien qui redirigeait vers une fausse page. L'expéditeur semblait interne, mais en y regardant de plus près, l'adresse était légèrement différente (un "0" à la place d'un "o", par exemple). C'est ce genre de détails qui rendent la chose piégeuse.
Je pense qu'une approche complémentaire serait de mettre en place un système de "primeausignalement". L'idée, c'est d'encourager les gens à signaler les tentatives de phishing, même s'ils ne sont pas sûrs à 100% que c'est une arnaque. On pourrait imaginer un petit challenge mensuel avec une récompense (un chèque cadeau, un dîner offert, etc.) pour la personne qui a signalé le plus de tentatives avérées. Ca crée une dynamique positive et ça incite les gens à être plus attentifs et à coopérer. En plus, ça permet de récolter des informations précieuses sur les nouvelles techniques de phishing utilisées. C'est un peu comme transformer les employés en détectives du phishing, avec un incitatif ludique et valorisant.
Sherlock :
J'ouvre ce sujet car on a eu une recrudescence de tentatives de phishing au sein de mon établissement scolaire. Les mails sont de plus en plus crédibles, et j'aimerais centraliser ici des conseils concrets et des exemples pour sensibiliser au mieux mes collègues et les élèves. On a déjà mis en place des formations, mais je cherche des approches complémentaires, peut-être des outils ou des techniques moins classiques pour maintenir l'attention et renforcer la vigilance.
le 08 Février 2025