Comment une société peut se protéger du phishing

En 1999, seules les banques américaines et Paypal étaient la cible des phishers. Maintenant que les internautes ont l'habitude de fournir leur numéro de carte bleue pour régler leur impôts, l'abonnement à leur magazine TV préféré, les frais de la dernière virée en Alsace pour le marché de Noël ou encore recevoir un remboursement du trop prélévé par leur opérateur téléphonique, ils sont potentiellement prêt à se voir demander un numéro de carte bleue par n'importe quelle société, ou presque, avec qui ils réalisent des transactions.

Donc, potentiellement, la moitié des entreprises présentes sur internet peuvent être la cible d'une opération de phishing. On peut imaginer nombre de scénarii touchant des acteurs de premiers plans. Par exemple, imaginez que vous receviez un email de Chèque Déjeuner vous invitant à vous voir recréditer d'un montant de 50€ sur votre compte bancaire pour un chèque restaurant non utilisé. Ou, imaginez que vous receviez un email de votre assurance emprunteur qui vous indique que vous avez trop été prélevé, vous sautez sur l'occasion, n'est-ce pas ? Imaginez que votre société de crédit, vous envoie un email qui vous indique qu'il y a eu une erreur de calcul dans le montant de vos échéances et qu'elle se propose de vous rembourser du trop perçu. Avouez que comme il s'agit de bonnes nouvelles, vous voudrez en savoir plus. Vous cliquez, mais si vous donnez vos codes, vous êtes perdu. Sachez que les plus grands organismes de prêt, le plus petit courtier en assurance de crédit immobilier ou encore n'importe structure de gestion d'avantage social peut être la cible de phishers.

Toutes ces entreprises doivent donc apprendre à se protéger et à protéger leurs clients.

Trois types d'action peuvent être entreprises pour se protéger du phishing

1.Eduquer ses internautes

Les internautes sont au fait des problèmes de sécurité sur internet, mais de façon très imprécise : ils confondent allègrement cryptage de données, avec authentification et avec phishing, qui relèvent de problématiques techniques et abstraites pour l'internaute de base. Il faut donc, encore et encore les éduquer, ce qui peut être fait de plusieurs manières au niveau d'une petite société.

  • envoyer un email qui explique que jamais, l'entreprise n'enverra une demande de mot de passe par mail
  • s'interdire d'insérer des liens dans des emails évoquant des problèmes de compte bloqué
  • toujours encourager les internautes à se connecter directement sur votre site

2. Prévenir

Protéger sa base d'emails
Orange s'est fait pirater en mai 2014, plusieurs millions d'adresses email. Cette base va pouvoir être utilisée par des phishers proposant, par exemple, un remboursement des frais d'abonnement internet en se faisant passer pour Orange. Créer deux, trois, quatre, cinq systèmes de protection successifs des adresses emails collectées sur votre site web : cryptez les emails dans la base de données, trouvez des noms non explicites pour la table ou les champs stockant les emails, répartissez ces emails sur plusieurs bases différentes, mettez en place un système de filtrage par adresse IP pour les accès à cette base...

Souscrire à un service payant de veille sur le phishing

Les sociétés comme Brandprotect propose des services de protection de la marque incluant la détection des opérations de phishing (envoi d'alertes dès le début des attaques, transmission des informations aux éditeurs de logiciels anti virus...)

3. Réagir en cas d'attaque

Si en dépit des précautions prises, une société est la cible de phishers, il faut avoir prévu un plan de réaction au préalable.

Envoyer un email à tous les clients/prospects

Cet email, pré rédigé, bien avant l'attaque, indique que certains contacts ont reçu un email, qui n'émane pas de l'entreprise et auquel il ne faut pas répondre. Il invite, par ailleurs, les internautes qui ont invonlontairement transmis leurs coordonnées aux phishers à prendre contact avec l'entreprise.

Déclarer le site de phishing sur des sites comme phishing initiative

Pour que l'accès aux sites de phishers soit bloqué par les navigateurs, il faut déclarer le site de phishing à des services comme Phishing initiative

A qui appartient réellement ce site douteux ?

Rentrer le nom de domaine suspect sans les "www"

Exemple: raphaelrichard.net