À l’approche des fêtes, tandis qu’entreprises et collaborateurs sont monopolisés par la clôture de l’exercice financier, les congés et l’achat de cadeaux, les cybercriminels guettent les occasions d’attaquer, notamment à travers les e-mails. Phishing, fraude au président, demandes de paiement... les tentatives d’escroquerie foisonnent et les responsables informatiques doivent garder les yeux ouverts.
La période qui précède les fêtes de fin d’année est traditionnellement un temps fort pour la cybercriminalité : les attaquants exploitent les habitudes de communication et la charge de travail accrue pour cibler le secteur B2B. Les indisponibilités liées à des congés, la hausse du trafic d’e-mails en lien avec les RH et les finances, de même que l’accroissement des notifications concernant les colis tissent une toile propice aux pièges cybernétiques. Néanmoins, quelques précautions stratégiques peuvent aider les organisations à se protéger.
1. Établir clairement les processus d'approbation
Lors des fêtes, les absences pour congés se multiplient et les équipes sont en sous-effectifs. La communication interne et les processus d’approbation peuvent en être affectés, créant les circonstances idéales pour des attaques de type « Business Email Compromise » (BEC), communément appelées « fraude au président ». Typiquement, les cybercriminels prétendent être des cadres, des prestataires ou des membres de l’équipe financière pour enjoindre les collaborateurs à effectuer des paiements dans l’urgence ou divulguer des informations confidentielles.
Ce type d’attaque se prévient en mettant en place des règles indérogeables qui restent en place pendant les fêtes. Le double contrôle, par exemple, ne doit pas connaître d’exception, même dans l’urgence. Aussi, des solutions avancées de sécurité des e-mails incluant une protection dédiée aux BEC et une identification du phishing basée sur l’IA, peuvent détecter les communications suspectes.
2. Informer les collaborateurs quant aux questions concernant les ressources humaines
Les cybercriminels ont l’habitude de recourir à des thèmes RH récurrents en fin d’année, comme les jours de congés restants ou les cotisations sociales, pour faire du phishing. Notamment, via des e-mails qui proviendraient des RH et qui exhorteraient les récepteurs à cliquer sur un lien ou à ouvrir une pièce-jointe.
Une mesure de prévention efficace consiste à remémorer au personnel que les e-mails provenant des RH ne demanderont jamais de saisir de mots de passe, ni de soumettre des documents personnels. Dans l'incertitude, la feuille de route doit recommander de téléphoner au service RH pour tirer au clair la requête. De plus, des solutions complètes contre le phishing qui comprennent des protections lorsque l’on clique (réécriture d'URL) et des reconnaissances de modèles (alimentées par l’IA), sont à même de passer en revue les pièces-jointes et d’ajouter une couche de protection.
3. Se méfier des notifications relatives aux achats
Comme les livraisons et les promotions augmentent significativement en fin d’année (à cause de programmes de cadeaux ou de colis livrés au bureau), le flux de messages concernant bons d’achats, livraisons et promotions s’accroit aussi. Les cybercriminels le savent et profitent de la situation pour y inclure des liens malveillants dans de fausses notifications d’expédition ou des e-mails frauduleux.
Circonscrire une feuille de route interne univoque relative à la façon dont les programmes de cadeaux officiels ou de primes sont divulgués est nécessaire. Il convient d’enjoindre les employés à gérer les liens suspects ou les bons d’achats avec circonspection, à ne jamais cliquer sans réfléchir et à signaler rapidement les communications suspectes au service informatique.
4. Implémenter des mécanismes anti-fraude
Avant les fêtes, à l’approche de la clôture de l’exercice financier, les autorisations budgétaires, factures et fin de projets sont nombreux. Les cyber-délinquants tirent parti de l’intensité de la période pour inonder les flux de fausses factures, de rappels ou de demandes de paiement qui, par un seul clic imprudent, peuvent engendrer des préjudices financiers considérables.
Il est recommandé d’instaurer des mécanismes anti-fraude solides et d’automatiser la vérification des factures. Certaines plateformes de sécurisation des e-mails peuvent analyser les pièces-jointes suspectes dans des sandbox pour y détecter les logiciels malveillants sans qu’ils arrivent dans les boîtes e-mails des collaborateurs.
5. Appliquer les normes d'authentification
L’entreprise n’est pas la seule à être en sous-effectifs pendant les vacances. Ses fournisseurs et partenaires le sont aussi. Les réponses retardées et les tentatives de fraude où les pirates se prétendent des remplaçants pour demander les coordonnées bancaires pullulent.
Des protocoles d’authentification de domaines tels que DMARC, DKIM et SPF peuvent vérifier l’authenticité des e-mails entrants. S’il est opportun de les utiliser, il est idéal de demander à ses fournisseurs et partenaires de les adopter aussi, pour consolider la sécurisation de toute la chaîne d'approvisionnement.
Enfin, la cyberdélinquance ne connait que trop bien les vulnérabilités saisonnières des entreprises et sait en tirer parti pour les assaillir. Toutefois, pour se protéger du phishing, les entreprises doivent éduquer leur personnel à la vigilance et adopter des mesures technologiques de protection avancée. Ainsi, les organisations pourront bénéficier d’une cybersécurité de bien meilleur niveau.
Par Sören Schulte, E-mail Security Expert chez Retarus
