En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Hameçonnage : le plus grand des cyberrisques pour les entreprises

Visibilité360, version PDF à partager

par Aurélia Morvan | 29 novembre 2019 10:58

Photo: Photo: Stockvault.net

Le Forum économique mondial établit chaque année son Top 5 des risques mondiaux, qu’il classe selon leur probabilité de survenance. Alors que les trois premiers risques les plus susceptibles de se produire sont liés à l’environnement, les quatrième et cinquième sont des risques liés à la technologie. Il s’agit respectivement du risque de fraude ou de vol de données et du risque de cyberattaques.

La protection contre ces menaces venues de l’extérieur est un enjeu qui occupe les esprits des dirigeants d’entreprises. Pourtant, le danger vient aussi de l’intérieur de leurs entreprises, par le biais de leurs employés, alertent des spécialistes de la question.

Les employés vecteurs du risque

C’est le cas de Jen Easterly, directrice générale du Cybersecurity Fusion Center de Morgan Stanley, le département qui œuvre à protéger l’institution financière américaine contre les cyberattaques. « On peut dépenser de l’argent pour renforcer la cybersécurité, mais il faut aussi éduquer les clients et les employés afin qu’ils sachent détecter les activités suspectes telles qu’un courriel frauduleux », a déclaré Mme Easterly à l’occasion du Forum Fintech Canada, organisé à Montréal, en octobre dernier.

Pour que la vigilance soit maximum, « il est important que chacun comprenne que les techniques sont de plus en plus sophistiquées », a dit celle qui est experte en contreterrorisme, puisqu’elle a travaillé à protéger les intérêts des États-Unis aux côtés de plusieurs présidents américains.

Parmi ces techniques, on trouve l’escroquerie par hameçonnage, ou phishing en anglais, un stratagème qui consiste à faire qu’un internaute clique sur un lien ou ouvre un document contenu dans un courriel malveillant. Redoutable, cette technique ne cesse d’être peaufinée par les pirates informatiques. Grâce aux données que ces malfrats collectent, via les réseaux sociaux notamment, les courriels d’hameçonnage peuvent coller parfaitement aux intérêts personnels des internautes ciblés, cela peut les pousser à cliquer sans se méfier et donc à se faire piéger. Ce qui arrive très souvent.

« 92 % des piratages informatiques et des vols de données réussis commencent par un courriel d’hameçonnage », a en effet pointé Jen Easterly.

Les PME très ciblées

Dominic Villeneuve, ex-pirate informatique et actuel directeur de la cybersécurité et des infrastructures chez UV Assurance, a également insisté sur cette réalité lors du Congrès de l’assurance de personnes, organisé par les Éditions du Journal de l’assurance, à Montréal, le 19 novembre dernier.

Les courriels d’hameçonnage représentent l’attaque la plus efficace depuis plus de 5 ans et il s’en envoie plus de 3 milliards par jour, a-t-il rapporté. Résultat : toutes les 13 secondes, une entreprise est victime d’un rançongiciel, un logiciel qui s’active grâce à l’ouverture d’un courriel frauduleux, par exemple, et qui bloque l’accès aux données de l’entreprise jusqu’à ce qu’une rançon soit payée.

Les courtiers en assurance, notamment, font partie des cibles privilégiées des pirates puisque 47 % des attaques ciblent des entreprises financières et 70 % des attaques réussies ciblent des entreprises de moins de 100 employés, signale par ailleurs M. Villeneuve. « Ne vous demandez pas si vous serez la cible des pirates, mais quand vous le serez », a-t-il ainsi prévenu.

De fait, il ressort du Sondage mondial sur la gestion des risques 2019 d’Aon que les cyberattaques et les brèches de données sont le risque-clé qui menacera le plus l’industrie de l’assurance au cours des trois prochaines années, juste avant le risque d’échec à attirer ou à retenir les meilleurs talents.