Sécurité

Qu’est ce que l’hameçonnage et comment assurer la sécurité informatique de votre conseil d’administration ?

Si l’hameçonnage perturbe la sécurité informatique des internautes depuis de nombreuses années, la pandémie de coronavirus Covid-19 lui a donné des ailes. Cette escroquerie de phishing a, en effet, augmenté de 600 % sur le mois de mars 2020, selon le baromètre Signal Spam. Néanmoins, les déclarations d’incidents de cybersécurité (121 en mai) n’ont pas été plus nombreuses pendant le confinement, même si les demandes d’accompagnement (39) ont été bien plus importantes, selon l’Agence du numérique en santé (ANS). Décryptons ce phénomène en analysant plus particulièrement ses répercussions au niveau du conseil d’administration.

Qu’est-ce que l’hameçonnage et pourquoi ces attaques perturbent-elles la sécurité informatique du conseil d’administration ?

 

L’hameçonnage, aussi appelé phishing, est une technique utilisée par des cyber-criminels pour obtenir des informations personnelles, bien souvent les coordonnées bancaires. Il s’agit d’une escroquerie numérique extrêmement répandue qui menace la sécurité informatique des particuliers comme des professionnels.

Cette fraude utilise des emails (plus rarement des SMS ou des appels téléphoniques) usurpant l’identité d’un organisme ou d’une entreprise de confiance au moyen d’adresse de messagerie masquée ou authentique mais piratée. Il s’agit bien souvent d’une banque, du service des impôts, d’un fournisseur de téléphonie, d’EDF, de Paypal… Des liens sont intégrés au message qui renvoient vers des sites contrefaits mais qui semblent bien réels.

Cette escroquerie impactant la sécurité informatique repose sur un semblant d’authenticité reproduit par le hackeur incitant le destinataire à fournir des renseignements personnels. Pour le pousser à cliquer, le message est conçu pour susciter l’intérêt. Il est soit très positif (de type « un remboursement vous attend »), soit, à l’inverse, inquiétant (de type « votre compte va être supprimé »).

Lorsque le destinataire clique sur le lien, il se retrouve sur un site créé spécialement par le pirate informatique. Il s’agit d’une page prenant l’apparence de l’organisme officiel usurpé. Elle présente un formulaire où sont demandées des données personnelles, en particulier des informations bancaires. Selon l’objectif du cyber-pirate, les renseignements sollicités peuvent varier. Il peut aussi solliciter le nom d’utilisateur et le mot de passe pour pénétrer le réseau de l’entreprise du destinataire, par exemple. De cette manière, il est en mesure de mettre en péril la sécurité informatique de tout l’organisme et non plus seulement de l’individu destinataire.

Dans certains cas, des pièces jointes sont associées à l’email. Elles sont présentées assez souvent comme étant des factures ou d’autres documents très importants. En téléchargeant le document joint, le destinataire de l’email infecte son ordinateur avec un logiciel espion ou un rançongiciel.

 

Remplacer les préférences à risque par des politiques raisonnées

Si vos politiques informatiques sont trop contraignantes, il existe de grandes chances que vos employés, y compris vos administrateurs, utilisent des moyens détournés pour arriver à leurs fins. Mais comment trouver le bon équilibre entre trop et trop peu de restrictions de sécurité ? Découvrez l’avis de nos experts dans notre livre blanc.

 

Les risques de phishing des administrateurs

 

L’hameçonnage se développe dans tous les domaines et cible tous les individus. Il peut avoir des conséquences néfastes sur la sécurité informatique tant des particuliers que des professionnels. Néanmoins, il faut noter que les membres d’un conseil d’administration sont des cibles privilégiées des pirates, et ce, pour plusieurs raisons.

Les administrateurs intéressent tout particulièrement les hackers, car ils détiennent des informations stratégiques sur les organismes dans lesquels ils siègent. En effet, ils sont au cœur des décisions de l’entreprise. Aussi, ils ont accès à beaucoup de renseignements et côtoient tous les dirigeants et toutes les directions de la société.

Par ailleurs, les membres du conseil d’administration reçoivent beaucoup d’emails et répondent très souvent rapidement. Ils ont, en effet, le plus souvent, diverses activités et des emplois du temps très chargés. Aussi, ce sont des personnes qui sont très actives et réactives aux envois d’email. Elles disposent de responsabilités diverses leur imposant d’être très sollicitées par ce moyen de communication qui est en mesure de menacer la sécurité informatique.

En outre, les membres du conseil utilisent souvent des adresses email externes à l’entreprise. Bien souvent, il s’agit de comptes personnels, de type Gmail, Yahoo, Hotmail… Ces derniers présentent des failles de sécurité informatique plus importantes qui attirent les cyber-criminels.

Enfin, n’étant pas géographiquement présent dans l’entreprise, l’administrateur utilise abondamment l’email dans ses missions. Il n’a généralement pas l’opportunité de rencontrer ses contacts professionnels très souvent. Pour contacter les responsables de la société, comme les autres administrateurs, il est alors contraint de se reporter sur son email. Aussi, il a l’habitude d’être contacté par ce moyen de communication et l’emploie abondamment.

 

Comment assurer la sécurité informatique des membres du conseil ?

 

Pour éviter que les administrateurs ne soient touchés par cette escroquerie, plusieurs actions peuvent être entreprises au niveau de votre société. Dans un premier temps, il est essentiel pour s’en protéger d’offrir des formations de cybersécurité en entreprise régulièrement.

Il importe de bien comprendre comment fonctionne l’hameçonnage pour le déjouer. Ainsi, être formé à reconnaître ces emails nocifs est important. Il faut savoir, par exemple, que l’email n’est jamais utilisé par ces prétendus organismes (banques, mutuelles, CAF…) pour demander des informations personnelles, qui plus est bancaires.

Par ailleurs, il est important d’expliquer certaines bonnes pratiques aux administrateurs afin d’améliorer la sécurité informatique de toute votre structure. Il peut s’agir, par exemple, de ne jamais cliquer dans des liens contenus dans un email et de toujours utiliser la page d’accueil du site de l’organisme pour se connecter à son compte. D’une façon générale, il convient d’être méfiant à l’égard de certains types de message demandant d’agir rapidement et exagérément positif ou négatif. L’intervention régulière d’un expert en cyber sécurité peut également être bénéfique pour les administrateurs à des fins d’éducation et de compréhension des enjeux.

Enfin, lorsqu’une personne doit saisir ses données bancaires, il convient de vérifier que la page web présente le symbole du cadenas et l’adresse commençant par « https » dans la barre de navigation. Il existe un ensemble de signes attestant de l’authenticité d’une démarche que les administrateurs doivent prendre l’habitude de chercher. C’est pourquoi la formation et ses piqûres de rappel sont si capitales.

En outre, pour éviter de se faire leurrer, le mieux est de mettre en place des outils sécurisés pour l’échange d’informations. Ainsi, votre organisme peut utiliser les solutions digitales sécurisées comme Diligent Boards, Secure File Sharing ou Diligent Messenger du Governance Cloud pour garantir la sécurité informatique des administrateurs.

La suite logicielle de Diligent est l’un des outils professionnels au monde les mieux sécurisés. Des aspects techniques et humains sont intégrés afin d’en garantir une excellente protection. L’authentification à double facteur, le cryptage des données, les certifications, les audits techniques, tests de pénétration et SSO…. sont les aspects principaux de tout ce que développe notre groupe. De plus, nous continuons à faire évoluer nos outils grâce à un investissement en recherche et développement conséquent et régulier.

Les solutions métier présentent des niveaux de sécurisation bien plus élevés que tous les outils génériques. Il est notamment fondamental de fournir une meilleure option que l’email personnel aux membres du conseil d’administration pour communiquer.

Outre les cyber-risques de phishing, les défauts de sécurité des emails standards soumettent les communications transmises à de nombreux dangers, notamment aux erreurs humaines. Pour qu’ils puissent rester concentrés sur leurs missions de premier plan, les administrateurs doivent pourtant impérativement s’appuyer sur des solutions technologiques hautement sécurisées.

 

La crise sanitaire du coronavirus Covid-19 agit parfois comme un révélateur. C’est le cas en matière d’hameçonnage puisqu’elle a exacerbé le nombre des attaques lancées par les criminels cyber justifiant de l’urgence de trouver des solutions. Or, la sécurité informatique des échanges des administrateurs est absolument vitale compte tenu de leurs missions stratégiques et sensibles. Dès lors, se doter des bons outils est une question à traiter en priorité.

 

Découvrez les solutions sécurisées de Diligent

Notre équipe est à votre disposition pour échanger sur les pratiques de sécurité de votre conseil d’administration et vous guider dans la mise en place de solutions sécurisées et intuitives. Profitez d’une démonstration gratuite et sans engagement à votre convenance.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS À NE PAS MANQUER