Comment sensibiliser vos collègues aux risques de phising en entreprise
Non le fishing n’est pas une technique de pêche anglo-saxonne. On parle de fishing, ou d’hameçonnage pour parler en bon français, lorsque des individus vous contactent, le plus souvent par mail, et tentent de se faire passer pour un tiers que vous connaissez et en qui vous avez confiance (une banque, un prestataire, voire même un collègue), dans le but de vous dérober des informations confidentielles : identifiants, mots de passe, informations bancaires etc…).
Le fishing est un risque pour tous, mais il l’est tout particulièrement en entreprise. Et sûrement encore plus en cette période de télétravail, où l’on n’a pas toujours un collègue à côté de soi, à qui demander son avis.
Des systèmes de sécurité ont potentiellement été mis en place sur votre boîte mail par le service informatique. Mais des failles existent toujours, et la solution la plus efficace reste la sensibilisation. Et en tant qu’Office Manager, vous êtes tout à fait légitime pour vous charger de cette mission de sensibilisation, et assurer la sécurité de vos collègues et de votre entreprise !
En matière de fishing, à quelles règles de sécurité sensibiliser vos collègues ?
Pour sensibiliser vos collègues aux règles de sécurité en matière d’email, et pour lutter contre les attaques de fishing dans votre entreprise, vous devez d’abord connaître vous-même ces règles. Passons-les en revue !
1. Ne pas avoir une confiance aveugle en l’expéditeur
Ne croyez pas sur parole un email se faisant passer pour une entreprise ou un individu. En achetant un nom de domaine, et en paramétrant sa messagerie, il est très facile de se faire passer pour quelqu’un d’autre.
Soyez attentif au message : est-ce que l’interlocuteur à l’habitude de vous envoyer de type de demande ? Par exemple, vous paraît-il normal que ce fournisseur, avec lequel vous bosser depuis des années, vous demande soudainement vos informations bancaires par mail ? Si vous avez un doute, mieux vaut ne pas prendre de risque. N’hésitez pas également à contacter la personne en question pour vérifier que c’est bien elle qui vous a écrit.
2. Identifiez les signes suspects
Au-delà du fait de recevoir une demande inhabituelle par mail de la part d’un tiers, d’autres signes peuvent vous mettre la puce à l’oreille concernant le fishing. Tout d’abord, soyez attentif à l’adresse exacte de personne. Souvent, vous pourrez vous rendre compte qu’il y a des incohérences, pas forcément visibles au premier coup d’œil. Un mail provenant prétendument d’Office 365 peut par exemple être écrit contact@office356.fr.
Soyez également attentif aux fautes d’orthographe. Par exemple, votre banque ne vous enverrait pas un mail dans lequel se trouve une faute d’orthographe à chaque phrase.
“Svp donné-nous ton numéro de carte” ( c’est quand même rarement aussi évident)
3. Ne donnez jamais des informations confidentielles par mail
Des informations confidentielles (un mot de passe, des coordonnées bancaires etc…) ne vous seront jamais demandés par mail. Jamais.
C’est là justement la technique utilisée dans le fishing : on se fait passer pour un tiers, à qui vous faites a priori confiance, pour vous dérober des informations confidentielles.
Encore une fois, si vous avez un doute, contactez votre banque (ou l’entreprise/la personne en question) pour vérifier que vous n’êtes pas victime d’une tentative d’hameçonnage.
4. Ne cliquez pas sur un lien si vous avez un doute
Si un mail vous paraît suspect et qu’il contient un lien, ne cliquez surtout pas sur celui-ci. Même si parfois, c'est très tentant (c’est justement le but). Vous pouvez passer votre souris au-dessus du lien, sans cliquer, vous verrez alors l’adresse de redirection du lien, qui peut parfois être différente du lien affiché.
5. Attention aux pièces-jointes
Faites attention aux pièces-jointes, dès lors que celles-ci proviennent d’un mail venant d’une personne extérieure à votre organisation. Si vous avez un doute, ne les ouvrez pas : elles peuvent contenir des virus ou des logiciels espions. Le pire, c’est que vous ne vous vous en apercevrez peut-être même pas.
Et quand bien même vous ouvrez des pièces-jointes, scannez-les avec votre antivirus, et vérifiez que celui-ci est bien à jour.
Comment sensibiliser vos collègues aux risques de fishing ?
Ça y est, vous avez bien compris les règles à respecter pour limiter les risques de fishing ? À vous de prêcher la bonne parole auprès de vos collègues ! Dans un premier temps, il peut être intéressant de mettre en place des ateliers, avec des petits exercices, durant lesquels vos collègues doivent identifier les mails suspects. N’hésitez pas à rassembler ces règles dans un document, accessibles à tous, et facilement, sur l’espace de travail collaboratif par exemple. Durant vos process d'onboarding, rappelez ces règles aux nouveaux arrivants.
Mais le plus efficace est de faire des tests auprès de vos collègues. Rapprochez-vous de votre département informatique pour voir comment mettre en place ces tests. L’idée ? De “faux” mails de fishing sont envoyés volontairement à vos collègues. Bien sûr, ceux-ci ne présentent aucun risque, mais il s’agit là d’observer qui a répondu au mail, a cliqué sur le lien ou ouvert la pièce-jointe.
L’optique derrière ne doit surtout pas être de punir les collègues qui sont tombés dans le panneau, mais simplement de leur faire un petit rappel des règles de sécurité en matière d’email, et des risques auxquels ils se seraient exposés s’il s’agissait d’un “vrai” mail de fishing. Il y a fort à parier que vos collègues ne feront pas 2 fois la même erreur.
Pour être efficace, ces tests doivent être effectués assez régulièrement. Bien sûr, ne prévenez pas vos collègues que des tests vont avoir lieu, sinon ce n’est pas drôle !
A lire également :Affiche : "Les 6 règles d'or de la cuisine"