mars 11, 2022
Sécurité
5 min lu

Phishing des cadres : conseils pour défendre votre entreprise

Le phishing des cadres, également connu sous le nom de "whaling" (ou fraude des PDG), est une cyberattaque ciblée sur les cadres supérieurs d'une entreprise afin de dérober des informations sensibles.

Povilas M.
Expert en sécurité
Chez Kraden, nous pensons que chaque cadre doit apprendre à reconnaître une attaque potentielle de phishing et à s'en défendre. Les statistiques le confirment, puisque l'Internet Crime Report du FBI montre que la cybercriminalité inflige près de 3 milliards de dollars de dommages chaque année. Et le stress causé ? C'est incommensurable. Le phishing est l'un des types de cybercriminalité les plus courants. Les cadres supérieurs sont la principale cible du spear-phishing. Dans cet article, nous souhaitons aborder cette question et aider les entreprises à comprendre comment elles peuvent mieux se défendre et défendre leurs cadres !

Qu'est-ce que le hameçonnage des cadres ?

Le hameçonnage exécutif, également appelé "whaling" (et parfois - harponnage) sont des cyberattaques ciblées et personnalisées qui utilisent l'interaction du dirigeant avec d'autres membres de l'organisation ou des prestataires de services. Il existe de nombreuses façons de mener et de commencer ce type d'attaque, mais en général, les pirates cherchent à obtenir des informations sensibles sur l'entreprise (par exemple, des informations sur les salaires, des identifiants de comptes bancaires, des contrats à venir, etc. ) ou de l'argent. Ils peuvent obtenir ce dernier en accédant aux banques ou aux avoirs financiers (par l'intermédiaire de cadres) ou en demandant une rançon. Les criminels l'obtiennent par la tromperie et l'ingénierie sociale, avec un peu de connaissance des logiciels malveillants également.
Les attaques par hameçonnage font partie d'une plus grande toile d'escroquerie cybernétique connue sous le nom de techniques d'ingénierie sociale susmentionnées. C'est l'une des techniques les plus couramment utilisées par les cybercriminels car elle est bon marché, simple à créer et très efficace. En effet, elle cible le maillon le plus faible de l'architecture de sécurité - l'utilisateur. Pour vous donner une idée de la façon dont le phishing exécutif peut être mené, voyez cet exemple :
Le cadre reçoit un courriel du service financier concernant son dernier chèque de paie ou sa dernière prime. L'e-mail contient un lien qui l'invite à saisir son nom d'utilisateur et son mot de passe sur un faux site Web conçu pour ressembler au site officiel de la banque ou du service de paie de l'entreprise. Le cadre pense qu'il utilise un site officiel, mais il entre en fait ses données de connexion sur un faux site.
Boom, maintenant le pirate a accès à l'identifiant de l'utilisateur de haut rang et peut accéder aux données.

Comment repérer et prévenir le phishing des cadres ?

Voici un tableau qui résume quelques bonnes tactiques et décisions qui peuvent aider à éviter, arrêter et/ou prévenir une attaque de phishing de cadres.
  • Informez vos employés cadres des risques liés au spear-phishing.
  • Mettez en œuvre des politiques et des règles strictes et très concises en matière d'échange et de protection des données.
  • Dans la mesure du possible, essayez de mettre en place une protection MFA, 2FA sur les processus et les accès.
  • Introduisez un mémo dédié sur la façon dont l'utilisation irresponsable des médias sociaux peut conduire au phishing.
  • Ajoutez volontairement des drapeaux à tous les courriels provenant de l'extérieur de l'entreprise.
  • Organisez des sessions mensuelles de sensibilisation à la sécurité ou utilisez un logiciel tiers comme KnowBe4.
Le hameçonnage des cadres est donc un type de cybercriminalité dangereux et courant, mais si vous vous armez de connaissances et prenez les bonnes précautions, votre équipe de direction peut contribuer à prévenir le hameçonnage des cadres ou du moins à minimiser les pertes si elles se produisent.
Il est assez difficile de repérer les attaques de phishing, surtout au niveau des cadres. Cela s'explique en grande partie par le fait que les cadres reçoivent une tonne d'e-mails et sont très occupés, ce qui rend leur attention très facile à exploiter. Toutefois, la mise en œuvre de politiques et de formations peut contribuer à réduire ces risques. Si vous souhaitez en savoir plus sur le hameçonnage des cadres ou protéger vos employés cadres contre ce phénomène, vous pouvez faire appel à un consultant ou à un cabinet de consultants pour vous aider à le mettre en place.
Les courriels de phishing proviennent généralement de l'extérieur de l'entreprise et les entreprises doivent être conscientes de l'usurpation d'identité par courriel. Mais les e-mails de phishing destinés aux cadres peuvent provenir de l'intérieur ou de l'extérieur, ce qui rend la défense contre ce type de cybercriminalité très difficile. C'est pourquoi la formation des cadres est nécessaire pour éviter le phishing des cadres.
Si l'un de vos employés ou cadres découvre qu'il a été la cible d'une escroquerie par hameçonnage, il doit toujours se tourner vers le personnel informatique de l'entreprise pour obtenir de l'aide. En outre, si une partie externe est impliquée et se fait passer pour vous, vous pouvez contacter cette partie (banque, fournisseur de services, etc.) pour obtenir son soutien et l'informer. Les services de cyberpolice méritent également d'être informés, si l'attaque menace réellement la sécurité de votre entreprise et l'intégrité de votre réputation.

Les communications privées cryptées de bout en bout peuvent-elles réduire le risque de harponnage ?

La communication cryptée de bout en bout est un excellent moyen de renforcer la sécurité des données au sein de l'entreprise.
Bien qu'il ne rende pas le hameçonnage des cadres impossible, il peut réduire le risque de hameçonnage des cadres en rendant les messages plus résistants aux attaques de l'homme du milieu (MITM) et à l'usurpation d'identité.
Un exemple simple du fonctionnement des attaques MITM.
Les pièces jointes des messageries multimédia (MMS) sont très appréciées des pirates car elles leur permettent d'y injecter des logiciels malveillants afin d'accéder aux appareils et aux données des cadres. Les communications privées cryptées de bout en bout créent un environnement sécurisé, ce qui rend beaucoup plus difficile l'accès des pirates aux informations d'identification et aux informations sensibles des cadres.
Kraden est une solution de pointe permettant aux utilisateurs privés et aux représentants des entreprises d'utiliser un environnement sécurisé pour la communication, l'échange de textes, de voix, d'images et de fichiers vidéo. Utilisation de Kraden devrait contribuer à créer un environnement beaucoup moins propice au phishing en général.

Conclusion

Le phishing exécutif est un type de cyberattaque très courant, mais il existe des mesures qui peuvent aider davantage d'organisations à l'éviter ou à minimiser les dommages qu'il cause.
Les entreprises devraient toujours prévoir une formation pour les cadres afin de réduire le risque de phishing des cadres, car ces attaques n'exploitent pas les systèmes, mais les personnes et leur manque de sensibilisation à ce type de situation.
La communication cryptée de bout en bout, comme celle que nous faisons avec Kraden, est un excellent moyen de renforcer la confidentialité des communications et d'éviter les menaces de sécurité externes telles que le phishing exécutif.
Plus d'articles de blog
décembre 12, 2024
Tutoriels
4 min lu
Qu’est-ce que Tor et pourquoi devriez-vous l’utiliser pour le plus haut niveau de confidentialité ?
Découvrez comment Tor améliore votre confidentialité et votre sécurité en 2025. Découvrez pourquoi Tor est essentiel pour l’anonymat en ligne et comment il s’intègre parfaitement à Kraden pour des messages sécurisés.
Ross K.
Expert en sécurité
septembre 17, 2024
Tutoriels
3 min lu
L’avenir de la confidentialité mobile : pourquoi GrapheneOS est essentiel en 2025
GrapheneOS révolutionne la confidentialité et la sécurité mobile avec sa conception de confiance zéro et ses fonctionnalités de protection avancées. Découvrez pourquoi c’est le meilleur choix pour protéger vos données en 2025.
Ross K.
Expert en sécurité
Une société de sécurité et d'informatique dont la mission est de faire de la vie privée de chacun une valeur par défaut.
© 2022 Dragon Secure GmbH. Bahnhofstrasse 32, 6300, Zug, Suisse
info@kraden.com