Comment se protéger contre les courriels d'hameçonnage lorsque l'on est une PME?
Les collaborateurs de PME sont souvent victimes de courriels d'hameçonnage (phishing). Les 5 points que nous allons vous décrire ci-après vont vous permettre d'identifier immédiatement de telles attaques.
Une attaque d'hameçonnage consiste en l'envoi de courriers électroniques par des expéditeurs se faisant passer pour des entreprises, des connaissances ou des collaborateurs dignes de confiance. Si les destinataires suivent les instructions données dans les courriels, les attaquants ont alors accès aux services internes à l'entreprise, aux courriels, aux mots de passe ainsi qu'aux documents. Les utilisateurs sont le maillon faible de la chaîne: il suffit qu'un collaborateur manque de vigilance l'espace d'un instant pour que l’entreprise se retrouve déjà menacée.
C'est la raison pour laquelle il est important de former et d'informer vos collaborateurs et vos employés de manière adéquate sur les courriels d'hameçonnage. Dans les points suivants, nous allons vous expliquer comment identifier de tels courriels. Lisez attentivement ces points avec vos employés et consultez d’autres sources si cela s'avère nécessaire.
L'expéditeur: de nombreux services de messagerie affichent uniquement le nom de l'expéditeur et non son adresse électronique complète. Cela est problématique car n'importe qui peut s'appeler «Microsoft Support». Vous y compris! Si le courriel que vous avez reçu vous paraît suspect, examinez l'adresse électronique de plus près. Les courriels d'hameçonnage font souvent appel à des services gratuits, comme ceux de Gmail ou d'Outlook par exemple. Les vraies entreprises utilisent généralement leur domaine comme adresse électronique.
La langue: le courriel est-il soudain en anglais alors que cet expéditeur ne vous envoie habituellement que des messages en allemand? Le texte contient-il des erreurs grammaticales indiquant que l'on a eu recours à une traduction automatique?
Les liens: placez le curseur de votre souris sur les liens contenus dans le courriel. Cela vous permet de voir, en bas à gauche dans le navigateur ou dans les programmes de messagerie les plus courants, l'URL enregistrée et de vérifier si celle-ci a l'air fiable. Évitez les domaines que vous ne connaissez pas ou ceux contenant même des erreurs. Il est également fréquent que les domaines utilisés ressemblent, à première vue, à l'original: par exemple microzoft.com au lieu de microsoft.com.
Les sites web: si vous avez malgré tout cliquer sur l'un de ces liens, vous devriez alors examiner le site web plus en détail. Les fautes d'orthographe ou un design peu soigné constituent ici encore des signaux d'alarme. Et si vous n'êtes toujours pas certain d'être vraiment sur le bon site web, recherchez le nom de l'entreprise sur Google. Vous serez ainsi sûr d'être à la bonne adresse.
Les mots de passe: ne saisissez votre mot de passe et toute autre information sensible que lorsque vous êtes absolument certain de vous trouver sur un site web digne de confiance. Dans le cas où vous auriez des doutes a posteriori, modifiez sans délai votre mot de passe et informez votre support informatique.