SÉCURITÉ DU NUMÉRIQUE L’HAMEÇONNAGE (OU PHISHING)
Cible : personnels des organismes privés et publics

Télécharger le document pdf


1 – Et si c’était vous ?
Ingénierie sociale
Alors que vous assurez la permanence pendant les fêtes de fin d’année, un individu vous contacte par téléphone. Il souhaite obtenir rapidement, pour motif professionnel, les codes d’accès de l’application financière en charge des paiements fournisseurs et des salaires. À force d’arguments et grâce à un ton assuré, il réussit à vous convaincre et, en l’absence de votre hiérarchie, vous cédez sous la pression et lui communiquez l’information convoitée.
S’il ne s’agit pas d’une attaque informatique directe mais d’une technique répandue d’ingénierie sociale, ce type d’information (code d’accès, coordonnées bancaires, données personnelles, etc.) peut être utilisé comme point d’entrée pour mener une attaque à l’encontre de votre organisme.
Attaque par la messagerie
Au retour d’une absence prolongée du bureau, vous trouvez votre messagerie électronique engorgée. Pressé, vous ignorez l’invitation à redémarrer votre ordinateur et empêchez par conséquent l’installation des mises à jour. En parcourant rapidement les objets de vos courriels, l’un d’eux semble traiter d’affaires en cours vous concernant directement et retient votre attention. Vous l’ouvrez et y découvrez un bref message vous enjoignant de consulter un site Internet qui vous est familier dans l’exercice quotidien de vos fonctions.
Vous venez d’être victime d’hameçonnage (ou phishing).
En contrevenant à un principe d’hygiène fondamental (mettre à jour ses logiciels) et en cliquant sur ce lien d’apparence légitime sans prêter attention à certains détails, vous avez permis à un attaquant d’installer un programme malveillant dans le système d’information de votre entreprise et vous lui avez donné accès non seulement à vos dossiers mais aussi à ceux de vos collègues.


2 – Comment renforcer ma vigilance et bien me protéger ?
Qu’est-ce que l’hameçonnage ?
L’hameçonnage est une technique d’attaque prenant la forme d’un courriel qui vous est adressé et qui semble provenir d’un expéditeur de confiance. Ce courriel peut contenir un fichier, une pièce jointe ou unlien de redirection vers un site frauduleux, avec une incitation à cliquer sur ces éléments, ce qui permettra à l’attaquant de recueillir de l’information ou d’installer un programme malveillant dans le système d’information de votre organisme.
Adopter les bonnes pratiques au quotidien
Méfiez-vous des courriels exigeant de vous une réponse ou une action immédiate et vous intimant de ne pas en informer votre hiérarchie ou vos collaborateurs.
Soyez prudents vis-à-vis des courriels comportant des visuels a priori officiels mais dont la résolution est mauvaise.
Ne cliquez jamais sur un lien ou une pièce jointe dont l’origine ou la nature vous semblent douteuses. Au moindre doute, privilégiez l’accès au site web en tapant directement l’adresse dans la barre de recherche.
Soyez à l’affût des fautes d’orthographe ou de syntaxe dans l’adresse de l’expéditeur, l’objet du courriel ou le corps du texte.

Ne répondez jamais à un courriel vous demandant des informations confidentielles(identifiants, coordonnées bancaires, etc.). Au
moindre doute, n’hésitez pas à contacter l’expéditeur par un autre canal, par exemple téléphonique.
Méfiez-vous des courriels d’expéditeur connu mais dont l’adresse électronique ou la nature du message sont inhabituelles ou catégorisés comme « spam / indésirable » par le logiciel de messagerie.
Procédez régulièrement au redémarrage de votre poste, notamment lorsque le système vous y invite.


3 – Je pense avoir été victime d’une attaque. Que faire ?
Qui prévenir ?
Si vous pensez avoir été victime d’une attaque informatique :
prévenez immédiatement le support informatique de votre organisme et vos supérieurs hiérarchiques ;
procédez sans délai au renouvellement de vos identifiants si vous les avez transmis lors de l’attaque.


4 – Documents de référence

Guide des bonnes pratiques de l’informatique
Télécharger le document

SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE

Partagez !

Merci de bien vouloir partager cette information avec tous ceux qui pourraient être intéressés.