La majorité des tentatives de phishing ont lieu par messagerie. Il existe des outils pour protéger ordinateurs et téléphones de ces attaques. Le protocole DMARC (Domain-based Message Authentication Reporting and Conformance), par exemple, assure la protection des courriers électroniques au niveau des domaines en s’appuyant sur les normes SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), qui permettent de vérifier que les courriers entrants proviennent d’une adresse IP autorisée par les administrateurs d’un domaine donné, ou de détecter les usurpations d’identité.
Un premier pas que toutes les organisations ne font pas. « Les grosses entreprises appliquent en général très bien ces protocoles, constate Luc Declerck, directeur général de Board of Cyber. C’est moins le cas au sein des PME ou des collectivités territoriales. » Par ailleurs, 90% des incidents de cybersécurité sont causés par une erreur humaine, comme le rappelle IBM dans son indice relatif à la veille stratégique en matière de sécurité. C’est pour cela que face au phishing, la meilleure protection reste la prévention.
Prévention continue et sur-mesure
Maxime Cailleretz, RSSI du conseil départemental du Nord, peut en témoigner. Son organisation, dotée de protections technologiques depuis des années, n’a pas échappé en 2020 à une tentative de phishing bien menée. « Il aura fallu attendre qu’une attaque réussisse pour que l’on augmente le budget, témoigne-t-il. Nous avons adopté des anti-virus plus récents, ainsi qu’une protection comportementale. C’était indispensable. » Ainsi, depuis, le conseil départemental du Nord travaille avec des partenaires qui sensibilisent les agents à travers des simulations personnalisées. « Avant, je le faisais de manière ponctuelle. Maintenant, c’est une sensibilisation continue. » L’avantage ? Tout le monde est convaincu et le sujet est porté par la direction générale. « Il existe toujours des maillons faibles, admet-il, mais nous sommes en mesure de les détecter. »
Parmi les partenaires du conseil départemental du Nord, on retrouve la société Avant de cliquer. « Les RSI n’ont pas le temps de faire de la prévention », estime Astrid Froidure, responsable relations publiques. La majorité de l’activité d’Avant de cliquer consiste à envoyer des courriels d’apprentissage, selon 4 niveaux :
- Le premier niveau ressemble à un e-mail de phishing non personnalisé – par exemple, une fausse contravention qui ne comporterait pas de numéro de service ou de plaque d’immatriculation, envoyée à quelqu’un qui n’aurait pas son permis de conduire.
- Le second niveau est similaire au premier, mais est plus ciblé. Par exemple, il ne sera envoyé qu’aux personnes ayant leur permis de conduire.
- Le troisième niveau consiste à envoyer des e-mails personnalisés en reprenant les codes de la structure, de l’entité ou de la collectivité. Quelques détails ou incohérences permettent de détecter qu’il s’agit d’un phishing, par exemple une adresse e-mail d’expédition fantaisiste.
- Le quatrième niveau est personnalisé en fonction de l’écosystème et pourra reprendre les codes des partenaires, des prestataires ou des contacts de l’entité.
« L’objectif est vraiment de personnaliser la formation, et de suivre l’évolution des salariés. Par ailleurs, nous leur proposons un bouton d’alerte cyber : quand un e-mail suspect est détecté, il suffit de cliquer sur ce bouton. Le RSI est informé en temps réel et peut mesurer concrètement les progrès des équipes, et le nombre d’attaques évitées. »
Éduquer au droit à l’erreur
Pour Luc Declerck, cette sensibilisation doit s’accompagner d’une autre forme de pédagogie. « En interne, il faut expliquer les risques réels des attaques de phishing. Perte de propriété intellectuelle, conséquences financières… Pour de nombreuses organisations, tout cela reste intangible, lointain. Il faut alerter sur les menaces concrètes. » Le tout, sans culpabilisation, insiste-t-il. « Il arrive souvent que les salariés qui répondent positivement à un phishing s’en rendent compte a posteriori et ne disent rien. Or, plus vite on communique, plus vite on peut réagir. Les attaques de phishing ciblent souvent des postes intermédiaires avant de remonter jusqu’aux comptes administrateurs. Cela peut durer plusieurs jours : un laps de temps qui permet de limiter les dégâts si l’on réagit rapidement. Mais il faut créer un cadre d’écoute non culpabilisant pour que cela soit possible », conclut-il.
