Le phishing ou hameçonnage est une forme de fraude sur internet, en forte augmentation depuis quelques années. Véritables cyberattaques, les entreprises sont de plus en plus à en être victimes et cela peut avoir de lourdes conséquences financières. Le dernier Baromètre CESIN x OpinionWay 2024 met d’ailleurs en avant que 37% des entreprises constatent une augmentation des cyberattaques et des fraudes, dont 60% étaient des attaques phishing. Ces cyberattaques, loin d’être anodines pour les entreprises, peuvent impacter lourdement l’ensemble de la supply chain. Comment faire pour s’en prémunir ? Infolegale fait le point pour vous.
Le phishing est une technique de fraude sur internet particulièrement dirigée vers les entreprises : quelles en sont les origines et quel est le but des fraudeurs ?
Le phishing est un terme dérivé du mot anglais « fishing » qui signifie pêche : cela illustre bien la technique des cybercriminels qui hameçonnent sous forme de faux e-mails, sites web ou messages divers pour piéger les entreprises.
Le but est de voler les données sensibles, telles que les mots de passe ou des informations bancaires, en se faisant passer pour une entité de confiance (banques, fournisseurs, partenaires commerciaux, etc).
Les cybercriminels exploitent bien souvent les failles humaines afin de s’introduire dans un système d’information (SI). Dans un contexte B2B, les TPE et PME sont particulièrement vulnérables à ces cyberattaques, puisqu’elles sont souvent moins matures en termes de cybersécurité. Elles constituent donc des portes d’entrées idéales pour les fraudeurs qui s’en servent de passerelles pour attaquer l’ensemble de la supply chain.
Comme évoqué précédemment, les attaques phishing sont majoritaires lorsqu’il s’agit de cyberattaques sur les entreprises : 60% d’après CESIN et OpinionWay.
Les attaquants ont recours à diverses techniques pour tromper leurs victimes via le phishing :
La fraude au faux fournisseur est largement représentée dans les tentatives de phishing. Vidocq, le produit Infolegale de lutte contre la fraude permet aux entreprises de se prémunir de ces risques grâce à un indicateur ultra fiable permettant de déceler les comportements suspects de leurs tiers. Ces solutions doivent être largement privilégiées afin de compléter la prévention des risques de fraude en entreprise.
Le phishing peut prendre plusieurs formes : spear phishing, mails frauduleux, … les techniques utilisées par les cybercriminels sont nombreuses et comportent toutes de lourdes conséquences sur la trésorerie des entreprises.
Le spear phishing est une version sophistiquée du phishing classique. Contrairement aux attaques de phishing bien souvent perpétrées en masse, le spear phishing cible une personne ou une entreprise spécifique en utilisant des informations personnalisées. Les cybercriminels collectent des données cibles via les réseaux sociaux, les bases de données d’entreprises et d’autres sources publiques.
| Quelles sont les différences entre Phishing et Spear Phishing ? | |
| Phishing classique | Spear Phishing |
| Envoi massif d'e-mails frauduleux | Ciblage précis d'une personne ou d'une entreprise |
| Message générique | Contenu personnalisé pour gagner la confiance (intelligence sociale) |
| Liens et pièces jointes suspects | Exploitation d'informations internes |
Dans un contexte B2B, le spear phishing est souvent utilisé pour des fraudes comme la fraude au faux président, les faux bons de commande ou encore les faux fournisseurs. C’est pour cette raison que les entreprises sont particulièrement concernées, notamment les petites et moyennes entreprises.
Ces attaques sont dangereuses car elles peuvent entraîner des pertes financières massives et compromettre la réputation d’une entreprise, de même que de mettre à mal toute la chaîne d’approvisionnement.
Voilà pourquoi s’assurer que ses tiers ont une hygiène cyber optimale est essentiel pour protéger son entreprise.
Le phishing par mail est la forme la plus répandue d’arnaque en ligne. Les e-mails frauduleux imitent des communications officielles pour inciter les victimes à divulguer des informations sensibles ou à exécuter des transactions frauduleuses.
Les entreprises sont particulièrement vulnérables, car les fraudeurs exploitent souvent des failles organisationnelles, telles que l’absence de protocoles de vérification des demandes de paiement.
Les protocoles de vérification sont essentiels pour se prémunir des risques de fraude et de spear phishing. Sis Lite Inside Vidocq permet de vérifier instantanément n’importe quel IBAN, un véritable gain de temps dans les process de vérification.
Bien qu'ils soient en forte recrudescence, plusieurs moyens existent pour pouvoir identifier les mails frauduleux et ainsi se prémunir des risques de fraude B2B.
Plusieurs signaux permettent de détecter des mails frauduleux. Au moindre signe suspect, il est préférable de mettre en place les process de vérification supplémentaires ou d’avertir son service informatique.
Les éléments permettant de vérifier s’il s’agit d’un email frauduleux sont :
Avant de cliquer sur un lien, il convient de passer la souris dessus afin de vérifier l’URL réelle.
Certains outils en ligne permettent de tester la sécurité d’un lien.
Quoi qu’il arrive, il convient de ne jamais cliquer sur un lien dès lors qu’il y a le moindre doute.
En cas de phishing avéré, il est crucial de le signaler à son service informatique ainsi qu’aux autorités compétentes
|
Le saviez-vous ? Les victimes de phishing peuvent signaler la fraude auprès de Signal Spam. |
Le phishing, au-delà d’être la cyberattaque la plus répandue, c’est également la première étape de nombreux types de fraudes en ligne. C’est pourquoi il convient d’intégrer des processus de vérification complets, à l’aide d’outils précis comme Vidocq, le module Sis Lite Inside Vidocq et plus largement Cyber.
Les attaques cyber, peu importe leur type ont des conséquences lourdes sur les supply chain et peuvent mettre à mal plusieurs entreprises, pouvant aller jusqu’à la défaillance.
Un fournisseur victime de phishing peut involontairement servir de passerelle pour une attaque plus large. Par exemple, si un attaquant compromet un fournisseur de services informatiques, il peut utiliser cet accès pour infiltrer les réseaux de plusieurs clients.
Les conséquences incluent des pertes financières, des atteintes à la réputation et une interruption des activités qui peut aller jusqu’à la défaillance de l’entreprise.
Surveiller en permanence la cybersécurité de ses fournisseurs et partenaires est indispensable. Des réglementations comme NIS 2 et DORA imposent aux entreprises de mieux contrôler leur chaîne d’approvisionnement en matière de cybersécurité.
Utiliser des solutions de risk management, tel que Cyber, le produit Infolegale d’évaluation de la cyber vulnérabilité des tiers, permet aux entreprises de mieux contrôler leur chaîne d’approvisionnement en matière de cybersécurité. Utiliser des solutions comme Cyber permet d’identifier des failles avant qu’elles ne soient exploitées et ainsi se prémunir des impayés dus aux défaillances des tiers ayant subi une cyberattaque.
En prime, un risk management proactif grâce à des solutions complètes telles qu’Infolegale vous permet de sécuriser vos transactions à 360° et prémunir durablement votre entreprise des impayés.