Cet article porte sur le phishing en entreprise.
Le phishing ou « hameçonnage » c’est le fait, pour un pirate, d’attirer l’un de vos employés à cliquer sur un lien vers un faux site web qui vole son login et son mot de passe.
A partir de là, le pirate peut se loguer à la place de votre employé dans votre système de mails, sur sa page Facebook, dans son cloud etc. Et ainsi lui voler des données ou se faire passer pour lui.
Mais le problème c’est que, dans bien des cas, les données de votre employé sont vos données. Notamment des données comme votre fichier client, vos procédures de travail, vos secrets de fabrication. Ou encore votre roadmap ou votre réponse à un appel d’offres avec le prix que vous proposez.
Phishing en entreprise : vol d’identité, aspiration de données confidentielles
Si le pirate est malin, il saura tirer le meilleur parti de ces informations pour les revendre, vous extorquer une rançon. Ou encore saboter votre réputation en diffusant dans l’espace public des informations que vous auriez bien voulu garder secrètes. Comme les causes d’un licenciement, la baisse de votre chiffre d’affaires. Ou encore le montant de votre dernier emprunt à la banque.
Dès lors, pour lutter contre le phishing, vous devez vous atteler à l’ensemble des dimensions du problème.
Votre première protection est le contrat de travail
La première dimension du phishing en entreprise est juridique. Ainsi, vos employés savent-ils que les données qu’ils traitent sont la propriété de l’entreprise? Par ailleurs, ont-ils compris que c’est leur responsabilité de ne pas occasionner de fuite? Et avez-vous prévu une pénalité en cas négligence ? Nous abordons ces points dans la formation Les données de l’entreprise sur le smartphone privé.
La deuxième dimension du phishing en entreprise, c’est la formation. En effet, chaque employé doit comprendre ce qu’est le phishing. Mais aussi comment ça marche, comment on se fait piéger. Dès lors, le plus souvent, on organise une campagne de faux phishing à titre éducatif. On fait ensuite le bilan de qui s’est fait piéger et pourquoi. Et comment il aurait pu éviter le piège.
Chacun connaît-il le périmètre des informations confidentielles?
La troisième dimension est stratégique. Avez-vous dressé la liste des données confidentielles ? Partant, font-elles l’objet d’une procédure spécifique telle que pénalité en cas de fuite, double mot de passe, audit annuelle etc. Nous abordons ce point dans la formation La captation de données stratégiques par les banques.
La quatrième dimension est l’implémentation technologique de votre stratégie. Par exemple La mise en place effective de ce système de double login, d’audit annuelle. Ou encore la surveillance du trafic sortant pour y détecter les fuites etc.
Le phishing est la faille de cyber sécurité la plus courante. Toutes les entreprises en sont victimes. Vous pourriez donc commencer par là, tout en douceur, la mise en place de votre stratégie de cyber sécurité.
