Pour peu que vous soyez un usager d’internet, vous n’êtes pas à l’abri des cyberattaques. Cela est d’autant plus vrai pour les entreprises, lesquelles traitent des milliers de données. Au nombre des cyberattaques les plus fréquentes auxquelles sont exposées les entreprises figure le phishing.
En France, des milliers d’entreprises subissent des attaques par phishing. Les risques pour elles sont souvent grands, et sont fonction du niveau de maturité de leur système de sécurité informatique et de la manière dont sont formées les équipes. Quels sont ces risques auxquels les entreprises sont enclines lorsqu’elles sont victimes de phishing ?
Définition du phishing pour rappel
Avant d’en venir aux désagréments que les entreprises peuvent subir du fait du hameçonnage ou phishing en anglais, rappelons brièvement le concept. Le phishing est un type de cyberattaque souvent initié par emails ou par messages et reposant sur l’ingénierie sociale. Il consiste à appâter sa cible à l’aide d’un message flatteur dont l’émetteur est un tiers de confiance (banque, institution financière, partenaire commercial de l’entreprise). Le but : collecter des données et avoir accès à des informations.
Généralement, le message est destiné à un collaborateur ou un cadre occupant un poste stratégique, donc ayant accès à des informations et des données sensibles de l’entreprise. À travers l’email ou le SMS, ce dernier est incité à cliquer sur un lien, télécharger un fichier, effectuer un paiement, fournir des coordonnées bancaires. Pendant ce temps, le cyber arnaqueur dérobe ces informations pour usurper l’identité du collaborateur et mener des actions frauduleuses au nom de l’entreprise.
Comme nous le verrons plus loin, le phishing expose les entreprises à de nombreux risques. Si certains sont gérables à condition d’être paré et réactif, d’autres sont irréversibles, comme le constate Arsen, et compte tenu de cela, il est recommandé de former vos équipes à reconnaître les attaques par phishing. À cet effet, seul le jugement humain pourra vous protéger et même les meilleurs antivirus ne pourront pas vous aider ! il existe des solutions SaaS grâce auxquelles vous pouvez effectuer des simulations pratiques et entraînements en interne contre le phishing et les autres formes de cyberattaques par ingénierie sociale.
VOIR AUSSI : Comment identifier et supprimer un cheval de troie de mon ordinateur ?
Les risques associés au phishing pour les entreprises
Lorsque votre entreprise est victime de phishing, le prix à payer peut être lourd, selon la taille de votre entreprise et la nature des données et informations volées.
La perte de données
Le principal risque auquel s’expose une entreprise victime de phishing est la perte de ses données. En effet, une fois que la cible de l’attaque a mordu à l’hameçon, le cybercriminel dispose d’une grande liberté pour opérer dans le système informatique de l’entreprise.
Selon le niveau d’habilitation de la cible, le criminel peut :
- accéder aux données des dirigeants de l’entreprise,
- prendre le contrôle de l’ordinateur de sa cible via un logiciel malveillant,
- accéder aux informations d’identification d’un compte pour récupérer des données ou voler de l’argent,
- infiltrer d’autres système de l’entreprise et dérober des données relatives à un projet ou relevant de la propriété intellectuelle de l’entreprise,
- accéder aux contacts des clients, fournisseurs et autres partenaires de l’entreprise,
- infecter d’autres appareils du réseau de l’entreprise par des ransomwares.
Une étude récente confirme que la perte de données est pour 60 % des personnes interrogées le risque majeur d’une attaque à l’hameçonnage.
L’interruption de l’activité
Selon l’envergure de l’attaque, le phishing peut causer une interruption totale de votre activité. C’est généralement le cas lorsque l’entreprise ne dispose pas d’un système de sécurité en prévention à ce type de cyberattaques. L’activité peut aussi être interrompue lorsqu’un logiciel malveillant empêche un appareil ou l’ensemble du réseau de fonctionner normalement.
Par ailleurs, l’interruption de l’activité est souvent inéluctable lorsque tout ou partie du système d’information de l’entreprise est atteint par l’attaque. Il en est de même si les serveurs de l’organisation ont été touchés. En 2020, l’interruption d’activité représentait 30 % des conséquences du phishing.
Les pertes financières
Les pertes financières sont la suite logique d’une interruption d’activité après une attaque au phishing. L’entreprise étant inopérante le temps d’identifier la menace et déployer des solutions, elle peut perdre beaucoup d’argent selon la nature de son activité. Cela est d’autant plus vrai pour les entreprises du e-commerce et celles proposant essentiellement des services en ligne.
L’étude 2021 sur le coût du phishing initiée par Proofpoint et menée par Ponemon Institute stipule que le phishing coûterait 14,8 millions de dollars de pertes financières à une entreprise de 9600 collaborateurs. Soit 1500 dollars de perte par collaborateur. Ce chiffre est trois fois supérieur à celui que la même étude a révélé en 2015 (3,8 millions de dollars).
Dans une autre étude de l’Agence européenne chargée de la sécurité des réseaux et de l’information, 57 % de PME avouent que, suite à une cyberattaque grave, elles mettraient certainement la clé sous le paillasson. Ces chiffres trouvent écho aux États-Unis où les données du FBI estiment à 54 millions de dollars les pertes qu’enregistrent les entreprises américaines victimes de phishing. Ceci sans compter les frais à engager pour restaurer et sécuriser l’ensemble du réseau (si l’activité continue).
VOIR AUSSI : Que faire en cas de virus sur mac ? Comment le supprimer ?
L’atteinte à la réputation de l’entreprise
Les entreprises victimes de phishing avec à la clé des pertes importantes de données voient leur réputation prendre un coup. En effet, sur votre marché et auprès de vos clients, vous perdez en fiabilité et en crédibilité.
Cela est d’autant plus vrai lorsque cette attaque permet de révéler les données privées de vos clients. Pire, si ces derniers décident d’entamer une action en justice contre vous, vous risquez certainement plus gros. Peu de clients voudront encore traiter avec vous, quand bien même vous essayez de les rassurer d’avoir désormais passé un cap en termes de sécurité informatique.
Vous l’aurez compris, bien qu’étant victime de phishing, vous pouvez faire l’objet de poursuites judiciaires de la part d’un client. C’est notamment le cas s’il est prouvé que l’attaque relève de votre faute, d’un manquement à vos obligations de protection des données clients.
Les solutions pour vous prémunir du hameçonnage
Au regard des risques auxquels s’exposent les entreprises victime de phishing, autant protéger vos arrières en prenant des mesures efficaces. Vous pouvez former vos équipes en faisant des séances pratiques de simulations d’attaque par phishing. Ainsi, elles auront les bons réflexes, tiendront la bonne conduite pour éviter d’être prises au piège de l’hameçonnage.
Il est également utile de :
- mettre en place un protocole de sécurisation des données personnelles,
- déployer une solution efficace de protection contre les spams,
- diligenter des opérations de maintenances préventives de votre système informatique,
- respecter le RGPD et de recruter un DPO.
Avec ces mesures, il est peu probable que les cybercriminels puissent vous atteindre.
Source : https://www.proofpoint.com/fr/resources/analyst-reports/ponemon-cost-of-phishing-study
