Qu’est-ce que l’hameçonnage, et comment s’en protéger?

5 minute read  

Quand il est question de protéger votre petite entreprise contre le cybercrime, ce ne sont pas des attaques sophistiquées dont vous devez surtout vous méfier. Les courriels, appels et messages texte d’hameçonnage sont de plus en plus courants, et même s’ils peuvent sembler assez simples, ils peuvent s’avérer très dangereux pour ceux qui les reçoivent. Ce genre d’attaque peut ternir la réputation d’une entreprise auprès de ses clients et consommateurs, et entraîner des pertes financières, des fuites de données et même des problèmes juridiques.

C’est pourquoi il est important de protéger votre entreprise en renseignant vos employés sur cette menace grandissante et sur les façons de la repérer.

Qu’est-ce que l’hameçonnage?

L’hameçonnage est un cybercrime qui consiste à utiliser des communications frauduleuses pour soutirer des renseignements confidentiels, comme des mots de passe ou des renseignements de cartes de crédit. En général, l’hameçonnage est déguisé en messages textes, sites Web ou courriels qui semblent provenir de sources légitimes.

L’hameçonnage peut être tenté par divers moyens, dont les courriels, les appels téléphoniques, les messages textes ou même les télécopies. Certaines arnaques par hameçonnage visent un grand bassin de personnes simultanément (la stratégie de l’« envoi en nombre »), alors que d’autres se concentrent sur une unité d’affaires en particulier, comme un centre d’appels ou un service des finances. Il arrive même qu’un courriel ou un appel frauduleux cible précisément un poste (celui de commis aux finances, par exemple) ou une personne. Le dirigeant principal des finances ou le propriétaire d’une petite entreprise sont d’ailleurs des cibles de choix vu leur accès direct aux données financières.

Quelles sont les cibles des cyberattaques?

Les gens croient que les pirates informatiques ne visent que les grandes sociétés, mais ils ciblent des entreprises de toutes sortes et de toutes tailles. En fait, 54 % des arnaques par courriel sont dirigées contre des petites entreprises. Il arrive que les petites entreprises soient plus faciles à infiltrer puisqu’elles n’ont pas les mêmes ressources et barrières de protection que les grandes entreprises. Certaines représentent aussi un point d’accès vulnérable qui permet d’infiltrer de plus grands fournisseurs.

54 % des arnaques par courriel visent les petites entreprises.

Exemples typiques d’escroquerie par hameçonnage

Plus le message verse dans l’émotion, plus vous serez susceptible de cliquer sur le lien que contient un courriel ou de faire ce qu’on vous demande pendant un appel téléphonique sans bien analyser tous les détails. La plus récente technique d’hameçonnage mise donc sur la peur entourant la pandémie de COVID-19 pour exploiter les gens.

Les fraudeurs se présentent comme des professionnels de la santé et communiquent des faussetés, prétendument au nom d’organisations comme la Croix-Rouge canadienne ou l’Organisation mondiale de la Santé. Leur objectif? Inciter des personnes à télécharger un maliciel ou à cliquer sur un lien malveillant. Et l’escroquerie ne se limite pas aux courriels : l’hameçonnage lié à la COVID-19 se fait aussi par téléphone et par messagerie texte.

De plus, il arrive souvent que des pirates se fassent passer pour des représentants de l’Agence du revenu du Canada (surtout durant la période des impôts) ou d’une autre autorité, par courriel ou par téléphone, afin de soutirer des renseignements personnels ou de l’argent aux victimes.

Comment reconnaître un courriel d’hameçonnage

Il est primordial que tous vos employés d’une petite entreprise sachent reconnaître un courriel d’hameçonnage, sans quoi ils pourraient par mégarde cliquer sur un lien frauduleux ou transmettre de l’information confidentielle. En faisant appliquer les quelques conseils pratiques ci-dessous, vous prémunirez votre entreprise contre d’importantes pertes de temps et d’argent :

  • Faites preuve de méfiance.
    • Avant toute chose, posez-vous des questions comme « Est-ce que je m’attendais à recevoir ce courriel? » ou « Est-ce que je connais l’expéditeur? » Les courriels d’hameçonnage visent parfois à nous faire paniquer, par exemple en nous faisait croire qu’on nous a volé de l’information et en nous offrant une solution rapide. Il faut se méfier de ce genre de message, puisqu’il s’agit habituellement d’une fraude.
  • Dans le doute, cherchez les fautes.
    • Il n’est pas rare que les pirates fassent des fautes de langue. Lisez très attentivement toute communication reçue, et si vous repérez des erreurs, usez de prudence.
  • Vérifiez l’adresse et les liens.
    • Parfois, l’adresse courriel de l’expéditeur est visible, et on sait tout de suite qu’il s’agit d’un courriel frauduleux. Dans d’autres cas, il faut placer son curseur sur le nom de l’expéditeur pour voir l’adresse. Si l’expéditeur prétend représenter une institution financière réputée, mais que la deuxième partie de son adresse courriel ne correspond pas au nom de ladite institution, il y a anguille sous roche. Il est aussi important de mettre son curseur au-dessus de tout lien pour faire afficher l’adresse URL avant de cliquer. Correspond-elle à ce qu’annonce l’hyperlien?
  • Soyez à l’affût des appels à l’action.
    • Pour qu’une tentative d’hameçonnage par courriel ou par téléphone réussisse, il faut que le destinataire fasse ce qui est demandé, qu’il s’agisse de fournir ses identifiants, de cliquer sur un lien ou de réaliser une tâche quelconque. Soyez à l’affût des appels à l’action. Est-ce qu’on vous demande de fournir des renseignements, par exemple votre nom d’utilisateur ou votre mot de passe? De vous connecter à un site Web pour accéder à quoi que ce soit? Le courriel contient-il des liens ou une pièce jointe non sollicités? Si la réponse à l’une de ces questions est oui, suivez les conseils ci-dessus pour vous assurer que le courriel provient d’une source fiable.

Exemples de situations où l’assurance des cyberrisques peut aider votre entreprise :

Même si vous prenez toutes les précautions et outillez vos employés, il n’est pas impossible que l’un d’eux morde à l’hameçon par courriel ou par téléphone. Votre entreprise pourrait ainsi se retrouver aux prises avec toutes sortes de problèmes, comme des pertes financières, une fuite de données ou une réputation entachée auprès de vos clients et consommateurs, voire des problèmes juridiques. Avec une assurance des cyberrisques, vous seriez en mesure d’absorber les coûts ainsi engendrés et d’empêcher votre chiffre d’affaires d’en pâtir. Visitez notre page sur l’assurance des cyberrisques dès aujourd’hui pour savoir comment nous pouvons aider votre entreprise!

Le présent billet est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements présentés. Nous ne pourrons en aucun cas être tenus pour responsables des pertes pouvant découler de leur utilisation.