Les entreprises continuent d’être en proie aux cyberrisques et aux tentatives d’escroquerie, qu’il faut pouvoir repérer.
Il est des domaines où l’on se passerait d’une certaine créativité. C’est le cas des menaces en ligne qui ciblent et vont continuer de cibler les entreprises. Si le principe des cyberrisques n’évolue pas forcément, les pirates savent y apporter une dose de nouveauté, surfer sur l’actualité, les dernières technologies ou les évolutions des usages pour décupler leur efficacité. « Les attaquants restent sur du classique, avec une petite touche d’innovation quand même », résume Nathalie Malicet, expert-comptable et commissaire aux comptes chez Anexis, membre du groupement France Défi.
Cyberrisques : vigilance sur les mails
« On observe une prédominance des attaques par phishing avec le mail comme vecteur d’intrusion », poursuit la spécialiste. Des pirates usurpent par exemple l’identité de l’administration fiscale dans des mails invitant leur destinataire à cliquer sur des liens vers un faux site de la DGFiP, afin de récupérer leurs identifiants et mots de passe.
Dans d’autres cas, le mail est assorti d’une pièce jointe qui si elle est ouverte active un malware pour chiffre les données du système d’informations de l’entreprise. Cette dernière sera invitée à verser une rançon pour en récupérer l’accès. « De plus en plus, les hackers prennent soin au préalable d’exfiltrer ces données, pour les vendre sur le dark web mais aussi faire du chantage à l’entreprise en menaçant par exemple de révéler publiquement la fuite de donnée », constate Nathalie Malicet.
Autre tendance : les arnaques au faux RIB. Les piratent usurpent alors l’identité d’un client ou d’un fournisseur et envoie un mail informant l’entreprise de son changement de coordonnées bancaires pour recueillir à sa place les virements qui lui sont dus. Les attaques visant les solutions de stockage et de partage de fichiers Cloud montent aussi en puissance. « On reçoit un mail d’un confrère nous invitant à nous connecter sur son espace pour récupérer des documents que l’on aurait demandés. Il ne faut surtout pas y aller », conseille Nathalie Malicet.
Des attaques de plus en plus sophistiquées
Si le mail est particulièrement utilisé, « les pirates ciblent tous nos moyens de communication », rappelle-t-elle. Sms et conversations WhatsApp véhiculent aussi des attaques. Même le téléphone peut servir. Avec le temps et les nouvelles technologies, notamment l’intelligence artificielle (IA), les attaques gagnent en sophistication et sont plus difficiles à détecter.
Nous avons tous déjà reçu des mails très mal écrits avec des fautes à chaque ligne, où l’arnaque était évidente. Avec des outils comme ChatGPT, les agents conversationnels, la barrière de la langue saute pour les pirates et il devient plus difficile de distinguer le vrai du faux.
L’ingénierie sociale permet aussi aux hackers de se renseigner sur leur victime en récupérant des informations en ligne pour rendre leur arnaque plus vraisemblable.
Pour se prémunir face à ces menaces, la spécialiste se réfère à trois mots clefs : vigilance, négligence et bon sens. « La vigilance renvoie à la petite dose de méfiance que l’on doit nécessairement avoir. Il faut toujours se demander s’il est normal et attendu de recevoir tel ou tel mail », explique Nathalie Malicet. La négligence à l’inverse est à éviter.
Tous les comportements susceptibles d’augmenter son exposition au risque cyber sont à proscrire : des mots de passe identiques pour différents usages ou pas assez renouvelés, des mises à jour du système d’exploitation renvoyées à plus tard. « Il existe un guide de recommandations de l’Agence nationale de la sécurité des système d’informations. Elles devraient être appliquées dans toutes les entreprises », rappelle l’experte.
Former régulièrement les collaborateurs est une nécessité. Ce peut aussi être l’occasion de rappeler que toutes les informations – organigramme, absence, nouveaux postes, numéro de portable – que l’entreprise ou ses collaborateurs peuvent mettre en ligne, sur les réseaux par exemple, peuvent être utilisées par les pirates.
Le bon sens enfin permet de limiter les risques et de bien réagir face à une attaque. Ne pas communiquer en clair des informations sensibles, vérifier en passant un coup de téléphone sur le numéro habituel de son interlocuteur supposé – fournisseur, centre des impôts – avant de répondre à un mail inhabituel, sont des réflexes à entretenir.