Pas besoin de mener une attaque très élaborée pour accéder aux données d’une entreprise; il suffit parfois de cliquer dans un courriel pour compromettre la sécurité des données. Les courriels, appels et messages texte frauduleux sont autant de moyens fréquemment utilisés par les cybercriminels pour hameçonner leurs victimes et voler leurs informations confidentielles. Ce genre d’attaque peut ternir la réputation d’une entreprise auprès de ses clients et consommateurs, et entraîner des pertes financières, des fuites de données et même des problèmes juridiques. C’est pourquoi il est important de protéger votre entreprise en renseignant vos employés sur cette menace grandissante et les façons de la repérer.

Qu’est-ce que l’hameçonnage?

L’hameçonnage est un cybercrime qui consiste à utiliser des communications frauduleuses pour soutirer des renseignements confidentiels, comme des mots de passe ou des renseignements de cartes de crédit. Certaines arnaques par hameçonnage visent un grand bassin de personnes simultanément (la stratégie de
l’« envoi en nombre »), alors que d’autres se concentrent sur une unité d’affaires en particulier, comme un centre d’appels ou un service des finances. Il arrive même qu’un courriel ou un appel frauduleux cible précisément un poste (celui de commis aux finances, par exemple) ou une personne. Le dirigeant principal des finances et les membres de l’équipe de la comptabilité sont d’ailleurs des cibles de choix vu leur accès direct aux données financières.

Exemples typiques d’escroquerie par hameçonnage

Plus le message verse dans l’émotion, plus vous serez susceptible de cliquer sur un lien ou de faire ce qu’on vous demande sans bien analyser tous les détails. La plus récente technique d’hameçonnage mise sur la peur entourant la pandémie de COVID-19 pour exploiter les gens. Les fraudeurs se présentent comme des professionnels de la santé et communiquent des faussetés, prétendument au nom d’organisations comme la Croix-Rouge canadienne ou l’Organisation mondiale de la Santé. Leur objectif? Inciter vos employés à cliquer sur un lien malveillant pour voler de l’information confidentielle dans votre base de données. Et l’escroquerie ne se limite pas aux courriels : l’hameçonnage lié à la COVID-19 se fait aussi par téléphone et par messagerie texte. Les fraudeurs ont aussi l’habitude de se faire passer pour des représentants de l’Agence du revenu du Canada, surtout pendant la période des impôts, ou pour des membres de forces de l’ordre.

Comment reconnaître un courriel d’hameçonnage

Il est primordial que tous vos employés sachent reconnaître un courriel d’hameçonnage, sans quoi ils pourraient par mégarde cliquer sur un lien frauduleux ou transmettre de l’information confidentielle. En faisant appliquer les quelques conseils pratiques ci-dessous, vous prémunirez votre entreprise contre d’importantes pertes de temps et d’argent :

• Faites preuve de méfiance. Avant toute chose, posez-vous des questions comme « Est-ce que je m’attendais à recevoir ce courriel? » ou « Est-ce que je fais affaire avec cette personne d’habitude? » Les courriels d’hameçonnage visent parfois à nous faire paniquer, par exemple en nous faisant croire qu’on nous a volé de l’information et en nous offrant une solution rapide. Il faut se méfier de ce genre de message, puisqu’il s’agit habituellement d’une fraude.
• Dans le doute, cherchez les fautes. Il n’est pas rare que les pirates fassent des fautes de langue. Lisez très attentivement toute communication reçue, et si vous repérez des fautes, usez de prudence.
• Vérifiez l’adresse et les liens. Parfois, l’adresse courriel de l’expéditeur est visible, et on sait tout de suite qu’il s’agit d’un courriel frauduleux. Dans d’autres cas, il faut placer son curseur sur le nom de l’expéditeur pour voir l’adresse. Si l’expéditeur prétend représenter une institution financière réputée, mais que la deuxième partie de son adresse courriel ne correspond pas au nom de ladite institution, il y a anguille sous roche. Il est aussi important de mettre son curseur au-dessus de tout lien pour faire afficher l’URL avant de cliquer. Correspond-elle à ce qu’annonce l’hyperlien?
• Soyez à l’affût des appels à l’action. Pour qu’une tentative d’hameçonnage par courriel ou par téléphone réussisse, il faut que le destinataire fasse ce qui est demandé, qu’il s’agisse de fournir ses identifiants, de cliquer sur un lien ou de réaliser une tâche quelconque. Soyez à l’affût des appels à l’action. Est-ce qu’on vous demande de fournir des renseignements, par exemple votre nom d’utilisateur ou votre mot de passe? De vous connecter à un site Web pour accéder à quoi que ce soit? Le courriel contient-il des liens ou une pièce jointe non sollicités? Si la réponse à l’une de ces questions est oui, suivez les conseils ci-dessus pour vous assurer que le courriel provient d’une source fiable.

Protégez votre entreprise

Même si vous prenez toutes les précautions et outillez vos employés, il n’est pas impossible que l’un d’eux morde à l’hameçon par courriel ou par téléphone. Votre entreprise pourrait ainsi se retrouver aux prises avec toutes sortes de problèmes, comme des pertes financières, une fuite de données ou une réputation entachée auprès de vos clients et consommateurs, voire des problèmes juridiques. Avec une assurance des cyberrisques, vous seriez en mesure d’absorber les coûts ainsi engendrés et d’empêcher votre chiffre d’affaires d’en pâtir. Visitez notre page sur l’assurance des cyberrisques dès aujourd’hui pour savoir comment nous pouvons aider votre entreprise!

Le présent billet est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements présentés. Nous ne pourrons en aucun cas être tenus responsables des pertes pouvant découler de l’utilisation de ces renseignements.