🎁 Assurance cyber, RC Pro, Multirisque, Resp. des dirigeants… : un mois d’assurance tech offert sur toutes nos assurances en ligne. Simuler mon tarif →

Contacter nous

Tout savoir sur le phishing : cette menace pour les entreprises

Découvrez le phishing, une menace croissante en ligne. E-mails frauduleux, faux sites Web, smishing, whaling les méthodes sont multiples tout comme leurs impacts. Quelle assurance pour vous protéger du phishing ?

tout-savoir-sur-le-phishing

Définition du phishing

Le phishing, également connu sous le nom d’hameçonnage, implique l’envoi de courriels ou de messages frauduleux qui semblent légitimes, incitant les destinataires à divulguer leurs informations confidentielles telles que leurs coordonnées bancaires ou leurs identifiants de connexion à des services financiers. Cette tromperie vise à dérober de l’argent ou à compromettre la sécurité financière des victimes.

Fonctionnement du phishing

  • fonctionnement-attaque-cyber

    Le fonctionnement du phishing repose sur la manipulation psychologique des victimes pour les inciter à agir de manière imprudente et à divulguer des informations sensibles. En comprenant les méthodes utilisées par les attaquants et en étant conscient des signes révélateurs, les individus et les entreprises peuvent mieux se protéger contre cette menace croissante.

Méthode de phishing

Découvrez les différentes techniques utilisées par les cybercriminels pour mener des attaques de phishing :

  • E-mails frauduleux : Les e-mails de phishing imitent souvent les communications légitimes, comme des messages provenant de banques, de services de messagerie, ou de réseaux sociaux. Ils contiennent généralement des liens ou des pièces jointes malveillantes qui dirigent les victimes vers de fausses pages de connexion ou des sites infectés. Ce type de phishing se fait majoritairement en masse et avec peu d’informations personnalisées.
  • Faux sites Web : Les pages de phishing sont conçues pour ressembler à des sites web authentiques, tels que des portails bancaires ou des plateformes de commerce en ligne. Les victimes sont incitées à saisir leurs informations personnelles, qui sont ensuite collectées par les cyber hackers.   
  • Smishing : Les messages texte frauduleux peuvent également être utilisés pour inciter les utilisateurs à fournir des informations personnelles ou à cliquer sur des liens malveillants, généralement en utilisant des techniques de peur ou d’urgence.
  • Spear phishing : Cette méthode cible spécifiquement des individus ou des organisations en utilisant des informations personnelles préalablement collectées pour personnaliser les attaques. Les e-mails et les messages semblent authentiques car ils contiennent souvent des détails pertinents pour la cible, tels que des noms, des titres de poste ou des projets en cours.
  • Whaling : Le whaling vise principalement les dirigeants d’une entreprise. Ces attaques sont souvent conçues pour obtenir un accès à des informations confidentielles ou à des systèmes sensibles au sein de l’entreprise. Ces attaques cyber sont très sophistiquées et très personnalisées afin de renforcer la crédibilité des messages envoyés.

Impact du phishing sur les entreprises

Conséquences financières

  • Perte de revenus : Les interruptions de service causées par une attaque de phishing peuvent entraîner une diminution des ventes et des revenus, en particulier si l’entreprise dépend fortement de ses activités en ligne.
  • Coûts de remédiation : Les entreprises doivent engager des dépenses importantes pour réparer les dommages causés par l’attaque cyber, y compris la restauration des systèmes, la mise à jour des mesures de sécurité et la formation du personnel.
  • Amendes et sanctions : En cas de violation de la réglementation sur la protection des données, les entreprises peuvent être soumises à des amendes légales importantes, ce qui aggrave encore leur situation financière.

🚀 COMMENT PROTÉGER VOTRE ENTREPRISE CONTRE LES RISQUES CYBER ?
Protection des données, sécurité informatique et piratage,  assurance du risque, adaptation à la cyber criminalité et nouvelles méthodes de cyber attaque : devenez expert de la cybersécurité avec notre guide des bonnes pratiques.
Le guide complet de la cybersécurité →

Pertes de données sensibles

  • Fuite d’informations confidentielles : Les attaquants peuvent accéder à des données sensibles telles que des informations clients, des données financières ou des secrets commerciaux, ce qui compromet la confidentialité et la sécurité de l’entreprise.
  • Violation de la confidentialité : Les données exposées lors d’une attaque par phishing peuvent être utilisées à des fins malveillantes telles que le vol d’identité, le chantage ou la fraude, ce qui peut nuire à la réputation de l’entreprise et entraîner des poursuites judiciaires.

Réputation et confiance

  • consequences-reputation-et-confiance-attaque-cyber
    • Dommages à la réputation : Les clients et les partenaires peuvent perdre confiance en l’entreprise si elle est victime d’une attaque de phishing, ce qui peut entraîner une baisse de la clientèle et des opportunités commerciales.

    • Perte de confiance : Les clients peuvent craindre pour la sécurité de leurs données et leurs informations personnelles, ce qui peut les inciter à rechercher des alternatives plus fiables, entraînant ainsi une perte de confiance et de fidélité à long terme.

    • Impact sur les relations commerciales : Les partenaires commerciaux peuvent être réticents à faire affaire avec une entreprise qui a été victime d’une attaque de phishing, ce qui peut compromettre les relations commerciales existantes et les opportunités de croissance future.

Les entreprises les plus ciblées

Exemple d’attaques de phishing

Equifax

Equifax est une agence de crédit basée aux États-Unis spécialisée dans l’évaluation du crédit des particuliers. Victime d’une cyberattaque en 2017, déclenchée par une campagne de phishing ciblant ses employés, l’entreprise a vu un groupe de pirates informatiques accéder à son réseau interne, compromettant ainsi des bases de données contenant des informations personnelles (noms, dates de naissance, numéros de sécurité sociale, adresses) et financières (numéros de cartes bancaires, détails sur les crédits en cours) de plus de 145 millions d’Américains.

Les répercussions ont été considérables, entraînant des enquêtes gouvernementales, des poursuites judiciaires et des amendes substantielles, tandis que la réputation d’Equifax a été gravement entachée, suscitant une défiance accrue du public quant à la protection de leurs données par l’entreprise. Au total, Equifax a dû s’acquitter de plus de 700 millions de dollars dans le cadre d’un accord avec les régulateurs et les États américains. De plus, l’entreprise a enregistré des pertes de chiffre d’affaires dépassant les 1,4 milliard de dollars sur une période de deux ans.

Twilio

Twilio, une entreprise américaine spécialisée dans la communication unifiée via une plateforme cloud, a été victime d’une attaque de smishing le 4 août 2022. Des employés ont été ciblés par des SMS frauduleux prétendant provenir du service informatique de Twilio, les incitant à divulguer leurs identifiants de connexion. Cette tromperie a permis aux attaquants d’accéder à certains systèmes internes et aux données clients. Twilio a coopéré avec les opérateurs américains pour neutraliser les attaquants et a bloqué les URL malveillantes avec les fournisseurs d’hébergement. Au total, 209 clients ont été impactés par cette attaque, y compris des entreprises telles que Cloudflare, Signal et DoorDash. Il suffit qu’un maillon de la chaîne soit touché pour que l’ensemble en soit impacté.

Classement des entreprises les plus touchées

Certaines entreprises sont plus fréquemment ciblées lors des attaques de phishing en raison de leur notoriété, comme l’a montré l’étude de Vade secure. Parmi elles, on retrouve des géants de la technologie comme Google, Microsoft et Apple, ainsi que des institutions financières et des plateformes de commerce en ligne telles que les banques, PayPal, Amazon et Crédit Agricole. En usurpant l’identité de ces entreprises bien connues, les cybercriminels cherchent à exploiter la confiance des utilisateurs pour obtenir des informations sensibles.

Classement
Marque
Catégorie
URL de phishing unique
1
Facebook
Médias sociaux
44 548
2
Microsoft
Cloud
22 851
3
Crédit Agricole
Services financiers
11 668
4
Orange
Internet/Télécommunications
8 719
5
SoftBank
Services financiers
5 511
6
Amazon
E-commerce/Logistique
4 522
7
Paypal
Services financiers
4 518
8
Apple
E-commerce/Logistique
4 472
9
Bank of America
Services financiers
4 080
10
Instagram
Médias sociaux
3 763

Les cyberattaques les plus courantes