Octobre a été déclaré “mois européen de la cybersécurité”. Que ce soit par un courriel ou un appel téléphonique, le phishing, associé à un employé négligent, comporte des risques considérables pour l’entreprise, tant sur le plan financier que productif. Mais qui est responsable?

Le phishing est une forme de cyberattaque par laquelle des criminels cherchent à dérober des informations personnelles ou financières ou à infecter vos ordinateurs par le biais de logiciels malveillants. Ces attaques revêtent diverses formes, mais les plus répandues consistent en des e-mails et des sites web frauduleux, conçus pour donner l’illusion qu’ils proviennent d’entités de confiance, telles que des institutions financières, des entreprises de livraison ou des organismes gouvernementaux.

Les cybercriminels recourent fréquemment à des techniques d’ingénierie sociale exploitant les émotions humaines (la peur, l’urgence, la curiosité…) pour inciter vos employés à divulguer des informations ou à ouvrir des pièces jointes malveillantes.

Pas responsable, sauf si…

L’évolution du phishing est marquée par sa perpétuelle adaptation et modernisation. Si ces messages frauduleux ont d’abord pris la forme d’e-mails, ils se sont maintenant étendus à d’autres canaux, y compris les plateformes de messagerie, les médias sociaux et même les appels téléphoniques. Les conséquences du phishing s’étendent bien au-delà des risques relatifs à la sécurité des données, mettant en péril la réputation de votre entreprise et sa continuité opérationnelle. Les cybercriminels qui parviennent à accéder à des informations financières sensibles peuvent réaliser des transactions frauduleuses, dérober des fonds ou usurper des identités, générant ainsi de graves répercussions financières.

En principe, un employé n’est pas responsable. En effet, dans le cas d’e-mails de phishing conçus pour tromper les destinataires, il est possible qu’un employé ne soit pas en mesure de discerner qu’il s’agit d’une attaque. Il conviendra toutefois d’évaluer plusieurs facteurs, notamment la nature de l’attaque, les mesures de sécurité mises en place par votre entreprise, les politiques de sécurité de l’information et de la faute (grave) éventuelle de l’employé. Il existe aussi des cas où un employé peut être (partiellement) tenu responsable. Par exemple, si l’employé a été formé à de nombreuses reprises aux risques du phishing et qu’il continue tout de même à se faire prendre au piège, voire en cas de complicité avec les cybercriminels.

Evitez les problèmes

Les employés sont souvent le point faible de tout système de sécurité. En investissant dans une formation à la cybersécurité pour votre personnel, vous pouvez significativement renforcer leurs compétences et réduire la probabilité qu’ils exposent involontairement des informations sensibles. La https://trends.levif.be/a-la-une/phishing-les-victimes-ne-sont-pas-toujours-remboursees-par-les-banques/protection de votre entreprise contre le phishing commence donc par une vigilance constante et une formation adéquate de vos employés.

Voici quelques mesures préventives: soyez prudent envers les liens et pièces jointes d’origine inconnue, résistez à la tentation de céder face à des demandes urgentes, utilisez des mots de passe forts et uniques différents pour vos activités en ligne personnelles et professionnelles, activez l’authentification multifactorielle, et enfin, maintenez vos logiciels à jour pour une protection optimale.

Thomas Dubuisson, avocat spécialisé en cybercriminalité chez CMS