Les risques liés au phishing sont souvent sous-estimés. D’aucuns pensent encore que les conséquences se limitent à devoir changer quelques mots de passe, scanner son réseau ou encore avoir une politique de sécurité complète.
Cependant comme nous allons le voir, le phishing peut avoir un impact très large et la gestion des risques doit donc être adaptée en conséquence.
Définitions
Commençons par définir la gestion des risques et le phishing en deux phrases :
La gestion des risques IT consiste à connaître, analyser et mesurer les risques internes et externes pour les prévenir et pallier aux menaces qui peuvent affecter l’activité de l’entreprise.
Le phishing (hameçonnage en français) est une technique utilisée par les cybercriminels qui vous incite à divulguer des informations personnelles sensibles par fraude ou supercherie.
Par définition, les attaques de phishing sont considérées comme des risques externes, c’est à dire non contrôlable par votre organisation.
Risques liés au phishing
Les risques liés au phishing sont nombreux pour les entreprises mais aussi les collaborateurs victimes de l’attaque :
- Impact financier pouvant être parfois très important
- Impact réputationnel
- Impact juridique
- Impact social (dépression pour la victime)
- etc.
Selon les statistiques de la société Avanan, 1% des emails sont des emails de phishing, cela équivaut à près de 5 emails par employé par semaine. Considérant que près d'un tiers des e-mails de phishing outrepassent le système de sécurité par défaut, la menace est bel et bien présente.
En ce qui concerne les attaques, 2 tentatives de phishing sur 3 utilisent un lien malveillant et plus de la moitié contiennent des logiciels malveillants.
Évaluation des risques du phishing
La difficulté de la gestion des risques liés au phishing réside principalement dans l’évaluation du risque qui est conditionnée par une bonne connaissance du danger. Une fois le danger bien identifié, le calcul de la criticité permet de prendre les mesures nécessaires à la diminution du risque.
Dans le cas du phishing, le risque est toujours associé à un actif immatériel (sans substance physique), ce risque est en général bien plus difficile à évaluer qu’un actif matériel.
Prenons l’exemple d’un collaborateur qui se fait voler son ordinateur en déplacement, on comprend facilement que si le collaborateur en question est un stagiaire qui vient de prendre ses marques dans l’entreprise, avec des droits et accès limités sur le réseau de l’entreprise, la conséquence financière du vol se réduit au prix de l’ordinateur.
En revanche, si le collaborateur est un membre du comité de direction et n’a aucun système de protection des données en place sur son ordinateur, alors le risque est bien plus important puisque l’on peut imaginer que des documents internes voir même confidentiels soient divulgués.
Afin d’évaluer les risques liés au phishing nous allons nous pencher sur les différentes étapes généralement utilisées :
- Analyse des conséquences
- Analyse de fréquence ou de probabilité
- Attribution d’une valeur financière en rapport aux conséquences et aux probabilités des risques
Comme vu plus haut, la gravité dépend du collaborateur touché mais surtout des informations obtenues par les cybercriminels lors de l’attaque.
L’analyse des conséquences est utilisée pour estimer les effets probables d’événements dangereux identifiés. Elle peut être qualitative ou quantitative.
La probabilité peut être calculée en se basant sur l'historique d’attaque par phishing de l’entreprise ou encore sur les résultats obtenus lors des simulations opérées par la DSI. Attention, l’historique d’attaques ne reflète pas forcément les événements futurs.
Réduction du risque lié au phishing
Pour réduire l’impact d’une attaque de phishing, votre société doit impérativement prendre les mesures suivantes :
- Développer un plan de protection contre le phishing avec un système de mesure de l'efficacité dans le temps : campagne de phishing, smishing, sensibilisation, conférences, etc.
- Développer les connaissances de vos collaborateurs en proposant des formations spécifiques et à la demande
- Identifier les personnes clés (CISO, DSI, etc.) puis attribuer et communiquer leurs responsabilités
- Mettre en place un système de signalement des attaques par phishing et former les collaborateurs à son utilisation
- Investir sur un système capable d'identifier les emails douteux
Rappelez-vous qu’il est impossible de se prémunir à 100% d’une attaque de phishing, il y aura toujours des risques encourus. Cependant, il est tout à fait possible de réduire le risque résiduel au minimum en adoptant les bons réflexes et en mettant en place les mesures décrites ci-dessus.
Parmi ses mesures de sécurité, la sensibilisation des collaborateurs est particulièrement efficace, investissez dans votre acculturation globale pour transformer vos collaborateurs en véritable éléments actifs de votre défense.
Nous le savons bien, en matière de cybersécurité, l’humain est le principal point de vulnérabilité. La cybersécurité est donc l’affaire de tous et le processus d’acculturation doit d’abord commencer par une sensibilisation des collaborateurs de façon globale et systématique.