Les cyberattaques, ça arrive à tout le monde

reconnaître et éviter les cyberattaques

Table des matières

Les cyberattaques existent depuis qu’internet existe. Elles existaient même avant. On peut citer Susie Thunder qui était pionnière des arnaques au téléphone et sur les premiers outils informatiques*.

Plus de 50% des entreprises ont vécu ou vivront une cyberattaque pendant leur activité. Parmi elles, près de la moitié auront énormément de mal à s’en remettre, en particulier les petites structures.

La sécurisation de nos données et usages numériques n’est donc pas une option. Il vaut mieux ne pas se demander s’il y aura une attaque, mais plutôt quand et se préparer en conséquence.

Avoir un système informatique bien sécurisé peut par ailleurs être un gage de confiance et de sérieux pour votre clientèle. Parce que si votre entreprise se fait attaquer, les pirates peuvent ensuite utiliser les informations récoltées pour attaquer ensuite vos contacts professionnels.

Quelques exemples de cyberattaques

  • Sur les réseaux sociaux, un message privé se faisant passer pour Facebook/Instagram/Meta et annonce un contenu ne respectant pas le droit d’auteur ou les conditions d’utilisation. Ils envoient un lien ou une adresse mail pour faire appel, mais le lien renverra vers un site frauduleux contenant un virus ou un système de paiement.
  • Le classique mail qui se fait passer pour une administration. Comme pour les arnaques en MP sur les réseaux sociaux, le but est de demander de l’argent ou des informations privées.
  • La fausse facture. En utilisant les coordonnées d’une structure avec laquelle vous travaillez (adresse, SIREN, etc), l’arnaqueur vous demandera de payer un reste à charge oublié par exemple, mais avec son propre RIB ou une autre plateforme de paiement. Ce type d’arnaque est en général utilisé après avoir collecté vos informations ou celles du partenaire commercial.
  • Ils ne vous ciblent pas vous mais vos communautés, les faux concours sont une vraie plaie sur Instagram. Après que vous ayez posté un concours, une fausse page est créée et contacte en MP les personnes qui ont participé en les renvoyant vers une page frauduleuse.
  • L’IA est de plus en plus utilisée pour des attaques informatiques. Elle aide les pirates à trouver des informations plus facilement, et à rendre les messages plus crédibles.

Comment reconnaître une arnaque ?

Même si les cyberattaques se complexifient, il existe des méthodes pour les identifier

  • Analyser les informations demandées : qu’il s’agisse de Meta, de votre banque ou d’une administration publique, ils ont déjà vos coordonnées principales et n’auront pas besoin de plus. Un expéditeur qui vous contacte directement mais ne connaît pas votre nom ou celui de votre entreprise est plutôt suspect.
  • Regarder l’adresse de l’expéditeur. Est-ce que que le nom de domaine dans la barre d’adresse ou le mail est le même que d’habitude ? Une recherche Google vous permettra de trouver le nom de domaine officiel de la structure qui vous contacte (ou pas).
  • Regarder la qualité des visuels et textes. Les images sont-elles pixelisées, est-ce qu’il y a des fautes d’orthographe ? Même si c’est erreurs sont de moins en moins courantes, elles peuvent mettre la puce à l’oreille.
  • Pour la fausse facture ou ce type de documents, est-ce que la mise en page et les couleurs sont celles de d’habitude ?
  • Se demander si la méthode de contact est plausible. Envoyer un message privé sur Instagram pour prévenir d’une infraction des règles du réseau social ne fait pas très pro pour une multinationale comme Meta.
  • Vérifier si le site est sécurisé (pictogramme d’un cadenas et adresse en https), les sites d’arnaque le sont rarement. Un site sécurisé assure la confidentialité des données partagées avec l’ordinateur ou mobile de la personne qui le consulte.

Comment me protéger ?

Les expert-es recommandent de dédier un quart du budget de l’entreprise à la sécurité informatique. Dans les faits, c’est quasi-impossible pour la plupart des structures. Mais il existe des bonne pratiques à mettre en place, et qui peuvent grandement aider.

Voici quelques conseils pour réduire les risques.

  • Pour les faux concours, éviter d’utiliser des hashtags comme #concours ou #ConcoursInstagram par exemple limite les risques que le vôtre soit vu et réutilisé par des pirates. Ce n’est malheureusement pas une solution complètement fiable, et les community managers s’arrachent les cheveux pour trouver une parade vraiment efficace…
  • Ne pas ouvrir les pièces jointes ou liens d’un message dans lequel vous n’avez pas complètement confiance. Elles peuvent contenir des sous-logiciels virus.
  • Ne pas transmettre ses mots de passe non plus. Les changer régulièrement est une bonne habitude à avoir également.
  • En plus d’avoir des mots de passe complexe, utilisez autant que possible l’authentification à deux facteurs. Cette méthode envoie un code de connexion par mail ou sms et réduit de près de 99% les risques de connexion frauduleuse.
  • Refuser les paiements, surtout s’ils sont demandés sur une plateforme ou d’une manière inhabituelles.
  • L’IA peut être utilisée, cette fois pour améliorer la sécurité. Elle pourra servir d’alerte, d’analyse des incidents, voire en prévention, tout en ayant un coût réduit pour les petites entreprises. C’était le sujet d’une des conférences de la Mêlée Numérique 2023, dont le résumé est ici.
  • Si le doute persiste, vous pouvez questionner par vous-même la structure qui semble vous avoir vous avoir contacté. Passez par les canaux que vous connaissez ou trouvables sur un moteur de recherche, et pas via l’adresse du message suspect.

Si ça arrive je fais quoi ?

Les lois française et européenne ont mis en place des règlementations pour aider les entreprises victimes de cyberattaques.

En France, il existe la plateforme https://www.cybermalveillance.gouv.fr qui permet de déposer plainte, mais aussi d’obtenir des informations et conseils de sécurisation.

En cas d’attaque, gardez un maximum de preuves et de documents pour la plainte. C’est aussi une obligation légale pour certains types d’entreprises, qui peuvent être tenues pour responsables en cas de fuite de données personnelles.

Ressources

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *