Comment reconnaître et éviter une cyberattaque ?

Disposer d’une présence en ligne est essentiel pour toute entreprise. Mais cela engendre également des risques : toutes sortes de techniques permettent aux cybercriminels de tenter de vous soutirer de l’argent, d’usurper votre identité ou celle de votre entreprise, voire pire. Pour mieux se protéger contre les fraudeurs en ligne, voici quelques conseils de vigilance et réflexes à adopter pour améliorer votre cybersécurité et celle de votre entreprise.  

Vous soupçonnez une cyberattaque, une fraude ou tout autre risque de cybersécurité ?  

• Rendez-vous sur Safe on Web pour obtenir de l’aide et apprendre à identifier les menaces. 
• Déclarez l’incident à la CERT (Cyber Emergency Response Team) du gouvernement fédéral et obtenez de l’aide.    

Qu’est-ce qu’une cyberattaque ? 

La plus courante : le phishing (hameçonnage)

Comment se déroule une tentative d’hameçonnage (phishing) ? 

1. Les pirates vous envoient un message sous l'identité d'une entreprise bien connue (généralement par e-mail ou par sms), voire celle de son CEO (ce type d’hameçonnage est alors appelé « fraude au CEO »). On vous demande par exemple de mettre à jour les informations de votre société en cliquant sur un lien qui renvoie vers une page web qui semble plus ou moins officielle. 
2. Les pirates expliquent qu’ils ont besoin de vos données personnelles pour vous faire bénéficier d’une réduction, pour vous éviter un problème (comme la suppression de votre compte ou une amende), ou toute autre raison vous poussant à agir dans l’urgence et la précipitation.  
3. Les pirates usurpent votre identité ou celle de votre entreprise : munis de vos identifiants, mots de passe, données personnelles, données bancaires ou autres, ils effectuent, par exemple, des achats en ligne avec la carte de crédit de votre société, ou vident votre compte bancaire personnel. 

Autres types de cyberattaques visant les entreprises 

Voici quelques exemples fréquents de cyberattaques visant les organisations et entreprises : 

Le spear phishing (ou harponnage) 
Il s’agit d’une attaque ciblée sur un individu, dont les pirates étudient le profil afin de se faire passer pour l’un de ses contacts de confiance, et qui a été choisi spécifiquement pour lui soutirer des informations confidentielles sur l’organisation avec laquelle il est en relation (employé, fournisseur, partenaire, etc.). 

L’attaque au ransomware (rançongiciel) 
Un ransomware est un logiciel malveillant qui bloque l’accès à un appareil ou au réseau d’une organisation, ou prend en otage les données d’une personne ou organisation ; une rançon est ensuite demandée (il peut s’agir d’argent ou de données sensibles, par exemple) en échange du déblocage de l’appareil ou du système visé, ou de la restitution des données prises en otage. 

Phishing (hameçonnage) et autres cyberattaques : adoptez les bons réflexes 

• Ne communiquez jamais de données personnelles comme des identifiants, des mots de passe, des données sensibles de votre entreprise, ou des informations bancaires, entre autres, sans être certain de l’identité du destinataire et de la sécurité du canal de communication. 
• Urgence et menace = fraude : les organisations honnêtes et sérieuses ne vous contactent jamais par e-mail ou sms pour des dossiers importants demandant une réaction urgente. 
• En cas de doute : ne cliquez sur aucun lien, ne téléchargez et n’ouvrez aucun fichier. 
• Vérifiez toujours si l’adresse web est bien celle du site officiel de l’entreprise : dans la barre d'adresse du navigateur, vérifiez si l’adresse du site internet (url) où vous renvoie un lien suspect correspond à celle du site officiel de l’entreprise supposée vous avoir envoyé le message.  
• Le style, le niveau d’écriture et la langue utilisée peuvent révéler une arnaque lorsqu’ils diffèrent des communications habituelles avec le prétendu expéditeur du message. 
• Connectez-vous uniquement aux plateformes officielles sécurisées si vous souhaitez modifier des informations personnelles ou sensibles. 
• Consultez votre espace client sur le site officiel de l’entreprise en question : si la démarche demandée se retrouve dans vos messages ou notifications, procédez via ce canal et non via le message ou l’e-mail suspect. 
• Contactez directement l'entreprise concernée si vous avez le moindre doute, ou pour signaler le message suspect. 

Mettre en place une politique de cybersécurité pour protéger votre entreprise 

Votre entreprise grandit ? Mettre en place une politique de cybersécurité afin de sensibiliser vos collaborateurs est essentiel pour protéger votre entreprise des cybercriminels. Pour réduire le risque de cyberattaques et autres menaces en ligne, lisez notre article « Comment protéger votre entreprise contre les cybercriminels ? »