Phishing (hameçonnage)

Qu’est-ce que le phishing ou hameçonnage en entreprise ?

Le terme phishing est une contraction de l’expression anglaise "password harvesting fishing" (pêche aux mots de passe). En français, on utilise le terme hameçonnage.

L’hameçonnage est une technique frauduleuse majeure consistant à obtenir des informations sensibles (identifiants, coordonnées bancaires, RIB) en usurpant l’identité d’un tiers de confiance. Si cette pratique vise souvent les particuliers, elle est le moteur principal de la cybercriminalité en milieu professionnel. Il est crucial de rappeler que l’usurpation d'identité d'une entreprise est sanctionnée par les infractions du code pénal, car elle constitue le point d'entrée de fraudes massives telles que :

• L’envoi d'emails frauduleux d'arnaque au président aux employés d'une société.
• La fraude au fournisseur (ou fraude au changement de RIB).
• L’usurpation de fonction professionnelle pour manipuler les services comptables.
• La prise de rendez-vous avec un faux technicien derrière lequel se cache une arnaque informatique.

Ces attaques reposent fréquemment sur l’usurpation d'un site internet officiel pour tromper la vigilance des collaborateurs.

Comment repérer et éviter une tentative de phishing ?

Les techniques d’hameçonnage sont de plus en plus sophistiquées. Pour protéger votre structure, certains réflexes sont indispensables.

Les signes qui doivent vous alerter

• L’expéditeur : Analysez l'adresse mail réelle. Un nom familier peut cacher une adresse exotique.
• La qualité rédactionnelle : Soyez attentif aux fautes d'orthographe ou de syntaxe, même si les fraudeurs soignent de plus en plus leurs textes.
• Les liens hypertextes : Avant de cliquer, survolez le lien avec votre souris pour vérifier l'URL de destination. Méfiez-vous de l'usurpation de votre site internet via des noms de domaine visuellement proches (typosquattage).
• L'accès direct : Ne passez jamais par un lien reçu par mail pour vous connecter. Saisissez l'adresse officielle directement dans votre navigateur.

Les bonnes pratiques de cybersécurité

• Gestion des accès : Utilisez des mots de passe complexes et uniques pour chaque outil.
• Sécurité technique : Maintenez vos logiciels et antivirus à jour.
• Mode texte brut : Lisez vos emails sans charger les images pour éviter de signaler aux fraudeurs que votre adresse est active.
• Prudence avec les pièces jointes : N’ouvrez aucun fichier provenant d’un expéditeur non identifié.
  

Que faire en cas de phishing avéré ?

En cas de doute (action préventive)

• Ne cliquez sur rien et n’ouvrez pas l’email.
• Si le message est reçu sur une messagerie professionnelle, transférez-le immédiatement au service informatique.
• Signalez la tentative sur les plateformes officielles : phishing-initiative.fr ou signal-spam.fr.

En cas d'attaque réussie (action curative)

1. Changement des mots de passe : Si vos identifiants ont été saisis sur un faux site, modifiez-les immédiatement.
2. Opposition bancaire : En cas de communication de coordonnées bancaires (scénario type d'une fraude au fournisseur), contactez votre banque sans délai.
3. Dépôt de plainte : Indispensable pour matérialiser l'infraction auprès des autorités.
   

L'expertise juridique contre l'usurpation d'identité

Les cyber-attaques ne sont pas seulement des problèmes informatiques, elles engagent la responsabilité de la société. En cas d'usurpation de votre site internet, de vos mails ou de vos comptes bancaires, une stratégie juridique doit être déployée.

Il est vivement recommandé de faire appel à un avocat spécialisé en usurpation d'identité d'entreprise ou de société. Le Cabinet de Maître Marie-Camille ECK vous accompagne pour :

• Identifier les responsabilités (banques, prestataires).
• Engager les procédures pénales nécessaires.
• Auditez vos procédures pour prévenir l'usurpation de fonction et le phishing.