Malgré les années de prédictions selon lesquelles la "mort de l'e-mail" est imminente, cette méthode de communication vieille de plusieurs décennies continue de prospérer dans le monde des affaires. En particulier, dans le domaine du piratage. Un e-mail contenant un lien qui semble légitime mais qui est en réalité malveillant reste l'un des tours les plus dangereux et les plus réussis répertoriés dans le manuel d'un cybercriminel et a conduit à certaines des plus grandes attaques des dernières années, notamment la violation de 2022 du géant des communications Twilio et le piratage de l'année dernière de la plateforme de médias sociaux Reddit. Alors que ces e-mails sont parfois faciles à repérer, que ce soit grâce à une mauvaise orthographe ou à une adresse e-mail inhabituelle, il est de plus en plus difficile d'identifier un e-mail frauduleux par rapport à un e-mail légitime alors que les tactiques des hackers deviennent de plus en plus sophistiquées. Prenez par exemple le compromis d'e-mails professionnels (ou BEC), un type d'attaque par e-mail qui cible les organisations grandes et petites dans le but de voler de l'argent, des informations critiques, ou les deux. Dans ce type d'escroquerie, les pirates informatiques se font passer pour quelqu'un de familier à la victime, comme un collègue, un patron ou un partenaire commercial, afin de les manipuler pour révéler involontairement des informations sensibles. Le risque que cela représente pour les entreprises, en particulier les startups, ne peut être surestimé. Les particuliers aux États-Unis ont perdu près de 3 milliards de dollars dans des escroqueries BEC rien qu'en 2021, selon les dernières données du FBI. Et ces attaques ne montrent aucun signe de ralentissement. Comment repérer une escroquerie par compromission d'e-mails professionnels Cherchez les signaux d'alerte Alors que les cybercriminels sont devenus plus avancés dans leurs tactiques d'envoi d'e-mails, il existe quelques indicateurs simples que vous pouvez — et devez — surveiller. Il s'agit notamment d'un e-mail envoyé en dehors des heures de travail habituelles, de noms mal orthographiés, d'une incohérence entre l'adresse e-mail de l'expéditeur et l'adresse de réponse, de liens et de pièces jointes inhabituels, ou d'un sentiment d'urgence injustifié. Contactez directement l'expéditeur L'utilisation du "spear phishing" — où les hackers utilisent des e-mails de phishing personnalisés pour se faire passer pour des cadres supérieurs au sein d'une entreprise ou des fournisseurs extérieurs — signifie qu'il peut être presque impossible de savoir si un message provient d'une source de confiance. Si un e-mail semble inhabituel — ou même s'il ne l'est pas — contactez directement l'expéditeur pour confirmer la demande, plutôt que de répondre via un e-mail ou un numéro de téléphone fourni dans l'e-mail. Consultez vos techniciens informatiques Les escroqueries de support technique sont de plus en plus courantes. En 2022, les clients d'Okta ont été ciblés par une escroquerie très sophistiquée qui a vu les attaquants envoyer des messages texte aux employés avec des liens vers des sites de phishing imitant l'apparence et le style des pages de connexion Okta de leur employeur. Ces pages de connexion ressemblaient tellement à la réalité que plus de 10 000 personnes ont soumis leurs identifiants de travail. Il est fort probable que votre service informatique ne vous contactera pas par SMS, donc si vous recevez un message texte aléatoire ou une notification pop-up inattendue sur votre appareil, il est important de vérifier si c'est légitime. Soyez (encore plus) méfiant des appels téléphoniques Les cybercriminels utilisent depuis longtemps l'e-mail comme leur arme de prédilection. Plus récemment, les criminels se fient à des appels téléphoniques frauduleux pour pirater des organisations. Un simple appel téléphonique aurait conduit au piratage de l'année dernière de la chaîne hôtelière MGM Resorts, après qu'un auteur a réussi à tromper le service d'assistance de l'entreprise pour lui accorder l'accès au compte d'un employé. Soyez toujours sceptique à l'égard des appels inattendus, même s'ils proviennent d'un contact qui semble légitime, et ne partagez jamais d'informations confidentielles par téléphone. Multipliez les facteurs de sécurité ! L'authentification multi-facteurs — qui nécessite généralement un code, un NIP ou une empreinte digitale pour se connecter en plus de votre nom d'utilisateur et de votre mot de passe réguliers — n'est en aucun cas infaillible. Cependant, en ajoutant une couche supplémentaire de sécurité au-delà des mots de passe sujets aux piratages, il devient beaucoup plus difficile pour les cybercriminels d'accéder à vos comptes e-mail. Poussez encore plus loin la sécurité en déployant une technologie sans mot de passe, comme des clés de sécurité matérielles et des passkeys, qui peuvent empêcher le vol de mots de passe et de jetons de session par des logiciels malveillants. Mettez en place des processus de paiement plus stricts Avec tout type de cyberattaque, l'objectif ultime d'un criminel est de gagner de l'argent, et le succès des escroqueries BEC repose souvent sur la manipulation d'un seul employé pour envoyer un virement bancaire. Certains hackers motivés financièrement se font passer pour un fournisseur demandant le paiement de services effectués pour l'entreprise. Pour réduire le risque de devenir victime de ce type d'escroquerie par e-mail, mettez en place des processus de paiement stricts : élaborez un protocole pour l'approbation des paiements, exigez que les employés confirment les virements d'argent par le biais d'un deuxième moyen de communication, et demandez à votre équipe financière de vérifier deux fois chaque détail de compte bancaire qui change. Vous pouvez aussi l'ignorer En fin de compte, vous pouvez minimiser le risque de tomber pour la plupart des escroqueries BEC en ignorant simplement la tentative et en passant à autre chose. Pas sûr à 100% que votre patron veut vraiment que vous alliez acheter 500 $ de cartes-cadeaux ? Ignorez-le ! Recevoir un appel auquel vous ne vous attendiez pas ? Raccrochez le téléphone ! Mais pour le bien de votre équipe de sécurité et pour aider vos collègues de travail, ne restez pas silencieux. Signalez la tentative à votre lieu de travail ou au service informatique afin qu'ils soient sur un pied d'alerte plus élevé. Microsoft critiqué pour des e-mails avertisseurs de hacks russes qui ressemblent à du spam et du phishing. Malgré les années de prédictions selon lesquelles la "mort de l'e-mail" est imminente, cette méthode de communication vieille de plusieurs décennies continue de prospérer dans le monde des affaires. En particulier, dans le domaine du piratage. Un e-mail contenant un lien qui semble légitime mais qui est en réalité malveillant reste l'un des tours les plus dangereux et les plus réussis répertoriés dans le manuel d'un cybercriminel et a conduit à certaines des plus grandes attaques des dernières années, notamment la violation de 2022 du géant des communications Twilio et le piratage de l'année dernière de la plateforme de médias sociaux Reddit. Alors que ces e-mails sont parfois faciles à repérer, que ce soit grâce à une mauvaise orthographe ou à une adresse e-mail inhabituelle, il est de plus en plus difficile d'identifier un e-mail frauduleux par rapport à un e-mail légitime alors que les tactiques des hackers deviennent de plus en plus sophistiquées. Prenez par exemple le compromis d'e-mails professionnels (ou BEC), un type d'attaque par e-mail qui cible les organisations grandes et petites dans le but de voler de l'argent, des informations critiques, ou les deux. Dans ce type d'escroquerie, les pirates informatiques se font passer pour quelqu'un de familier à la victime, comme un collègue, un patron ou un partenaire commercial, afin de les manipuler pour révéler involontairement des informations sensibles. Le risque que cela représente pour les entreprises, en particulier les startups, ne peut être surestimé. Les particuliers aux États-Unis ont perdu près de 3 milliards de dollars dans des escroqueries BEC rien qu'en 2021, selon les dernières données du FBI. Et ces attaques ne montrent aucun signe de ralentissement. Comment repérer une escroquerie par compromission d'e-mails professionnels Cherchez les signaux d'alerte Alors que les cybercriminels sont devenus plus avancés dans leurs tactiques d'envoi d'e-mails, il existe quelques indicateurs simples que vous pouvez — et devez — surveiller. Il s'agit notamment d'un e-mail envoyé en dehors des heures de travail habituelles, de noms mal orthographiés, d'une incohérence entre l'adresse e-mail de l'expéditeur et l'adresse de réponse, de liens et de pièces jointes inhabituels, ou d'un sentiment d'urgence injustifié. Contactez directement l'expéditeur L'utilisation du "spear phishing" — où les hackers utilisent des e-mails de phishing personnalisés pour se faire passer pour des cadres supérieurs au sein d'une entreprise ou des fournisseurs extérieurs — signifie qu'il peut être presque impossible de savoir si un message provient d'une source de confiance. Si un e-mail semble inhabituel — ou même s'il ne l'est pas — contactez directement l'expéditeur pour confirmer la demande, plutôt que de répondre via un e-mail ou un numéro de téléphone fourni dans l'e-mail. Consultez vos techniciens informatiques Les escroqueries de support technique sont de plus en plus courantes. En 2022, les clients d'Okta ont été ciblés par une escroquerie très sophistiquée qui a vu les attaquants envoyer des messages texte aux employés avec des liens vers des sites de phishing imitant l'apparence et le style des pages de connexion Okta de leur employeur. Ces pages de connexion ressemblaient tellement à la réalité que plus de 10 000 personnes ont soumis leurs identifiants de travail. Il est fort probable que votre service informatique ne vous contactera pas par SMS, donc si vous recevez un message texte aléatoire ou une notification pop-up inattendue sur votre appareil, il est important de vérifier si c'est légitime. Soyez (encore plus) méfiant des appels téléphoniques Les cybercriminels utilisent depuis longtemps l'e-mail comme leur arme de prédilection. Plus récemment, les criminels se fient à des appels téléphoniques frauduleux pour pirater des organisations. Un simple appel téléphonique aurait conduit au piratage de l'année dernière de la chaîne hôtelière MGM Resorts, après qu'un auteur a réussi à tromper le service d'assistance de l'entreprise pour lui accorder l'accès au compte d'un employé. Soyez toujours sceptique à l'égard des appels inattendus, même s'ils proviennent d'un contact qui semble légitime, et ne partagez jamais d'informations confidentielles par téléphone. Multipliez les facteurs de sécurité ! L'authentification multi-facteurs — qui nécessite généralement un code, un NIP ou une empreinte digitale pour se connecter en plus de votre nom d'utilisateur et de votre mot de passe réguliers — n'est en aucun cas infaillible. Cependant, en ajoutant une couche supplémentaire de sécurité au-delà des mots de passe sujets aux piratages, il devient beaucoup plus difficile pour les cybercriminels d'accéder à vos comptes e-mail. Poussez encore plus loin la sécurité en déployant une technologie sans mot de passe, comme des clés de sécurité matérielles et des passkeys, qui peuvent empêcher le vol de mots de passe et de jetons de session par des logiciels malveillants. Mettez en place des processus de paiement plus stricts Avec tout type de cyberattaque, l'objectif ultime d'un criminel est de gagner de l'argent, et le succès des escroqueries BEC repose souvent sur la manipulation d'un seul employé pour envoyer un virement bancaire. Certains hackers motivés financièrement se font passer pour un fournisseur demandant le paiement de services effectués pour l'entreprise. Pour réduire le risque de devenir victime de ce type d'escroquerie par e-mail, mettez en place des processus de paiement stricts : élaborez un protocole pour l'approbation des paiements, exigez que les employés confirment les virements d'argent par le biais d'un deuxième moyen de communication, et demandez à votre équipe financière de vérifier deux fois chaque détail de compte bancaire qui change. Vous pouvez aussi l'ignorer En fin de compte, vous pouvez minimiser le risque de tomber pour la plupart des escroqueries BEC en ignorant simplement la tentative et en passant à autre chose. Pas sûr à 100% que votre patron veut vraiment que vous alliez acheter 500 $ de cartes-cadeaux ? Ignorez-le ! Recevoir un appel auquel vous ne vous attendiez pas ? Raccrochez le téléphone ! Mais pour le bien de votre équipe de sécurité et pour aider vos collègues de travail, ne restez pas silencieux. Signalez la tentative à votre lieu de travail ou au service informatique afin qu'ils soient sur un pied d'alerte plus élevé. Microsoft critiqué pour des e-mails avertisseurs de hacks russes qui ressemblent à du spam et du phishing. 
