Le phishing (hameçonnage) est une forme de fraude en ligne à laquelle recourent les cybercriminels pour tenter de voler des données d’accès, des informations de cartes de crédit, des codes pin ou encore des données médicales. Pour ce faire, ils envoient de faux e-mails ou SMS provenant d’organismes auxquels vous faites confiance : votre banque, le SPF Finances, un parc d’attractions bien connu, un grand fournisseur télécom, etc. Dans ces messages, ils vous demandent de vous rendre sur le site web de l’organisme en question pour saisir par exemple votre numéro de compte ou le code PIN de votre application bancaire, ou encore de cliquer sur un lien qui installe alors un virus sur votre ordinateur.
D’autres variantes du phishing ont fait leur apparition depuis, et l’imagination des cybercriminels ne connaît aucune limite. Le « whaling » (harponnage), par exemple, qui consiste pour les fraudeurs à utiliser des plateformes telles que WhatsApp pour envoyer des messages dans lesquels ils se font passer pour une célébrité ou un membre de votre famille. Le fraudeur demande de transférer de l’argent parce qu’il a un petit problème ou qu’il est temporairement incapable d’accéder à son compte, et promet naturellement de rembourser la somme dans les plus brefs délais. La « fraude au PDG » est un autre phénomène encore fort courant. Le fraudeur se fait passer pour le patron de la victime et lui demande de transférer d’urgence une certaine somme d’argent, afin par exemple de régler une facture impayée.
« Au début, les messages de phishing se repéraient assez facilement », explique Tom Van Britsom, cyberexpert chez Vanbreda Risk & Benefits. « Ils étaient souvent truffés de fautes, avaient un titre vague ou vous appelaient par votre adresse e-mail. Les sites web imités étaient souvent de piètres copies, ce qui ne manquait pas de mettre la puce à l’oreille de bon nombre de victimes. Les phishers se sont toutefois professionnalisés. Il est de plus en plus difficile de faire la différence avec une véritable adresse e-mail ou un site légitime. »
Non seulement les hackers se montrent de plus en plus habiles dans leurs arnaques, mais le nombre de messages de phishing est lui aussi en forte augmentation, tout comme le nombre de victimes. Selon la fédération bancaire Febelfin, quelque 67 000 transactions bancaires frauduleuses ont eu lieu en 2020 par suite de phishing, pour un montant de 34 millions d’euros. À titre de comparaison, un an plus tôt, les dommages s’élevaient « seulement » à 8 millions d’euros.
Vanbreda Risk & Benefits constate également que les déclarations de sinistres sont plus nombreuses, et les montants en jeu plus élevés. « Nous remarquons que les assureurs réagissent généralement de trois manières », explique Tom Van Britsom. « Soit ils augmentent les primes des polices, que ce soit pour les nouveaux clients ou les clients existants, soit ils adaptent leurs conditions, par exemple en diminuant les plafonds, en augmentant les franchises ou en modifiant les clauses. Enfin, les assureurs durcissent également leur politique d’acceptation. Les entreprises doivent démontrer que leur politique de sécurité est en ordre, et certains secteurs se voient même carrément exclus. »
Bien sûr, une politique de sécurité au point sur le plan technique contribue pour beaucoup à dissuader les phishers, explique Tom Van Britsom. Mais il est tout aussi important d’investir dans le « facteur humain ». « La grande majorité des sinistres ont un lien humain, que les entreprises ne pourront jamais éliminer totalement. Il leur faut donc former en permanence. Vanbreda Risk & Benefits procède de deux manières. Tout d’abord, en organisant des cyberateliers basés sur notre propre expérience des cyberdommages. Nous y enseignons les meilleures pratiques : comment faire face au phishing lorsque vous y êtes confronté, les choses à faire et à ne pas faire, ce que vous pouvez faire pour préparer votre entreprise, et comment réagir de manière adéquate en cas d’attaque ? »
Par ailleurs, Vanbreda propose une « formation au phishing » en ligne. Tom Van Britsom : « Via notre plateforme, nous simulons une attaque de phishing extrêmement réaliste et entièrement adaptée à votre entreprise. Vous ne devez apporter aucune modification à votre infrastructure informatique. Nous envoyons des e-mails de phishing et surveillons ensuite de très près la réaction de vos employés. Bien sûr, nous vous remettons ensuite des analyses et rapports détaillés sur le déroulement du test. »
Les rapports indiquent par exemple combien d’e-mails ont été envoyés, combien ont été ouverts, qui a saisi quelles données ou répondu aux e-mails, combien de personnes ont cliqué sur des pièces jointes suspectes, combien d’employés ont prévenu le service informatique, etc. « Nous pouvons mieux informer l’entreprise et son personnel sur les dangers numériques et leur apprenons à y faire face correctement. Votre entreprise peut ainsi mieux comprendre comment optimiser sa politique interne de cybersécurité », souligne Tom Van Britsom. « Grâce à cette formation, chaque employé devient un véritable expert du phishing. Votre personnel est ainsi prêt à faire face à une cyberattaque, et les données, les actifs et la réputation de votre organisation sont mieux protégés. »
