Cybermenaces : êtes-vous protégé ?
Arnaques, piratage d’un système informatique, usurpation d’identité, vol et effacement de données etc.
Voici les cybermenaces auxquels les particuliers, et les entreprises (petites et grandes) sont exposés sur Internet.
Avec le déroulement des Jeux Olympiques en France, les attaques pourraient s’amplifier, les autorités s’y sont préparées, et vous ?
Si vous pensez que “les cyberattaques ça n’arrive pas qu’aux autres” mais que vous ne savez pas comment vous en protéger, cet article va vous intéresser.
La cybermalveillance
Qui sont les auteurs des cybermenaces ?
Les motivations des cybercriminels peuvent être de différentes natures :
- les gains financiers, sont la motivation première,
- les raisons géopolitiques, comme l’espionnage étatique,
- la violence idéologique, on parlera de terroristes,
- la satisfaction, il s’agira d’amateurs de sensations fortes,
- les motifs personnels, par exemple de collaborateurs mécontents dans une entreprise.
La première motivation des cybercriminels est l’argent. Les données qu’ils collectent peuvent être revendues sur le dark Web
💡 Le dark Web est la partie “cachée” du Web. Elle est nommée ainsi car elle n’est pas accessible avec les navigateurs standards tels que Chrome et Firefox.
Comment les cybercriminels s’y prennent pour récupérer des données ?
C’est ce que nous allons découvrir en étudiant les principales menaces.
Les principales cybermenaces
Le rapport 2023 Cybermalveillance
Le rapport du dispositif Cybermalveillance sur l’année 2023 fait état des principales cybermenaces subies par les particuliers et les entreprises.
💡 La plateforme Cybermalveillance est un dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance pour les particuliers, entreprises et collectivités territoriales.
Pour les particuliers le hameçonnage arrive en tête, suivi par le piratage de compte et le faux support technique, avec une très forte progression de l’arnaque au faux conseiller bancaire.
Du coté des entreprises, les premières cybermenaces portent sur le piratage de compte, puis le hameçonnage et les rançongiciels. On observe une hausse significative des faux ordres de virement.
Mais qu’est-ce que le hameçonnage ou phishing, ou un rançongiciel ?
Le hameçonnage ou phishing ou smishing
Le hameçonnage consiste à tromper la victime pour obtenir des données personnelles.
Il peut s’agir d’un faux appel ou SMS de votre banque ou de votre fournisseur d’électricité.
Le but est souvent d’obtenir vos données bancaires.
Comment réagir en cas de hameçonnage ?
Dans le doute contactez l’organisme concerné et ne communiquez pas d’information sensible.
Si vous avez communiqué des coordonnées bancaires, faites opposition.
Changez les mots de passe si divulgués.
Portez plainte et signalez sur les sites spécialisés.
Le rançongiciel ou ransomware
Le rançongiciel est un logiciel qui s’exécute après avoir cliqué sur un lien ou ouvert la pièce jointe d’un mail malveillant.
Il bloque ensuite l’accès à l’ordinateur ou à certains fichiers.
Il demande le paiement d’une rançon contre la libération de l’accès.
Le but est d’obtenir de l’argent, mais aussi de faire subir des pertes, et de nuire à l’image de la victime ou de l’entreprise.
Comment réagir en cas d’attaque par rançongiciel ?
- Déconnectez votre appareil d’Internet et du réseau local le cas échéant
- Si vous êtes en entreprise, contactez le support informatique
- Ne pas payer la rançon
- Déposez une plainte
- Identifiez et corrigez l’origine de l’infection
- Désinfectez et réinstallez le système
- Se faire aider par des professionnels
L’arnaque au faux support technique ou tech support scam
Le faux support technique contacte la victime par messagerie (ou téléphone etc. ), lui fait croire à un problème informatique grave afin de soi-disant la dépanner et cherchera à prendre le contrôle de son PC.
Le pseudo dépannage est souvent payant, ou fait acheter des logiciels ou des abonnements.
Comment réagir en cas d’arnaque au faux support technique ?
- Ne pas répondre
- Conservez la preuve de l’attaque
- Redémarrez l’ordinateur
- Supprimez les cookies et réinitialisez votre ordinateur
Le piratage de compte ou de système informatique
Un cybercriminel, qui a pu récupérer les identifiants d’une victime par du hameçonnage par exemple, se connecte à un de ses comptes (boîte mail, compte bancaire en ligne etc.), dans le but de récupérer de l’argent, d’autres informations, de supprimer des données etc.
Dans le cas d’une entreprise, un pirate peut entrer dans un système d’information (ou SI) qui traite et stocke des données.
Il y arrive en profitant d’une faille dans la sécurité, et peut ensuite s’étendre à d’autres équipements du réseau de l’entreprise.
Le risque est le vol et la perte totale des données.
Quels sont les moyens de se prémunir contre toutes ces cybermenaces ?
La cyberhygiène
Pour se prémunir des atteintes à votre système quoi de mieux qu’une bonne cyberhygiène ?
Nous avons listé ici les principaux conseils en matière de sécurité informatique.
Les mots de passe
Quelques règles générales d’hygiène concernant les mots de passe :
- utiliser un mot de passe différent pour chacun de vos comptes. N’utilisez pas le même pour vous connecter à votre boîte mail, votre profil Facebook et votre espace bancaire en ligne !
- dans vos mots de passe ne mettez pas d’informations personnelles de type : date de naissance, prénom de votre mère, nom de votre rue, ou tout autre information qui pourrait être facilement connues, notamment au moyen de l’OSINT.
- votre mot de passe doit être composé d’au minimum 12 caractères.
il doit comporter des majuscules, des minuscules, des chiffres et des caractères spéciaux.
D’après Hive Systems, en 2024, il faudra 50 minutes à un pirate pour trouver un mot de passe à 7 caractères qui comprend des lettres minuscules. En revanche il lui faudra 164 ans pour trouver un mot de passe à 12 caractères qui comporte des majuscules, des minuscules, des chiffres et des caractères spéciaux.
❓ L’ OSINT ou l’Open Source INTelligence est l’utilisation de données et d’informations accessibles au grand public, elle peut avoir de nombreuses applications. Les professionnels de la cybersécurité y ont notamment recours pour identifier les failles des réseaux afin d’y remédier. Tandis que les cybercriminels s’en servent pour identifier des cibles et exploiter les faiblesses de leurs réseaux.
Une méthode pour créer un mot de passe solide
La méthode des premières lettres peut être utilisée pour vous créer un mot de passe solide.
Pour cela mémoriser une phrase qui comprend des chiffres.
Votre mot de passe sera composé des premières lettres des mots.
Exemple de phrase : J’ai deux ordinateurs : un fixe et un portable.
Exemple de mot de passe : J’a2o:1fe1p.
Bien évidemment n’utilisez pas cet exemple.
Le mot de passe de votre boîte mail
Utilisez des mots de passe solides notamment pour vous connecter à la boîte mail avec laquelle vous accédez à des services officiels et importants : FranceConnect, votre banque, etc.
Elle vous permet de vous connecter à ces services quand vous cliquez sur “mot de passe oublié”. Donc, si une personne y a accès, elle aura aussi accès aux autres comptes qui lui sont reliés.
Idéalement ayez deux boîtes mails distinctes :
- une pour communiquer avec les services officiels et indispensables,
- et, une autre pour vos achats en ligne.
Je ne peux pas mémoriser tous mes mots de passe, comment faire ?
Il est déconseillé de noter vos mots de passe dans un fichier texte sur votre ordinateur.
Vous pouvez utiliser à la place un gestionnaire de mots de passe sécurisé. L’ANSSI recommande KeePass, qui est gratuit.
❓ L’ANSSI est l’Agence nationale de la sécurité des systèmes d’information. Elle prévient et répond aux risques cyber.
La double authentification
Lorsque c’est possible, activez la double authentification : par SMS, par mail etc.
La sauvegarde de vos fichiers
En cas d’attaque par rançongiciel vous pourriez perdre les données enregistrées sur l’appareil infecté.
Le meilleur moyen de s’en prémunir est d’effectuer des sauvegardes régulières de vos fichiers, en les copiant soit sur un autre support physique, soit dans une solution en ligne.
Les différents moyens de sauvegarde :
- clé USB,
- disque dur externe,
- solution de type “cloud” ou “drive”,
- coffre fort numérique, etc.
Si vous utilisez une clé USB ou un disque dur, il faut les déconnecter après la sauvegarde.
Les sauvegardes sur CD ou DVD sont déconseillées, car la durée de vie de ces supports peut être courte.
Un système informatique sécurisé
Les mises à jour
Lorsqu’une mise à jour d’un logiciel est disponible, installez-la dès que possible pour minimiser les cybermenaces.
Les cybercriminels se glissent souvent dans les failles d’une ancienne version.
Maintenir votre système informatique à jour est important.
L’idéal est que ces mises à jours soient automatiques, sinon les télécharger uniquement depuis les sites officiels.
Dans les entreprises, un inventaire des matériels et des logiciels avec leurs versions est recommandé, ainsi que la planification des mises à jour.
Les protections antivirus
Activez et mettez à jour systématiquement la protection contre les virus et les menaces du système d’exploitation de votre appareil (exemple : Sécurité Windows), et/ou ayez recours à une autre solution payante.
Evitez les réseaux WI-Fi publics
Si vous devez vous connecter à un WI-FI public n’échangez jamais de données confidentielles (numéros bancaires etc.), ou veillez à avoir une connexion sécurisée (avec un VPN par exemple).
Les formations, la sensibilisation
Dans les entreprises, la menace peut faire suite à des négligences.
Des solutions gratuites existent pour sensibiliser les équipes.
Le MOOC gratuit sur la cybersécurité
L’ANSSI met à disposition un MOOC gratuit sur la cybersécurité.
Une attestation de réussite peut être délivrée à l’issue
Un coaching gratuit en cybersécurité pour les entreprises
Profitez d’un coaching gratuit en cybersécurité, dans le cadre d’une initiative gouvernementale, si votre entreprise a plus de 2 ans et génère plus de 15000€ de CA annuel.
Les autres ressources pour s’informer sur les cybermenaces
Retrouvez toutes les ressources du dispositif sur le site Cybermalveillance :
- des fiches mémo,
- des kits de sensibilisation,
- des guides etc.
Les prestataires en cybersécurité pour les entreprises
Où trouver des prestataires labellisés ?
Le dispositif Cybermalveillance peut vous mettre en relation avec des prestataires labellisés.
Sur le site consulter la page : « Sécurisez vos systèmes numériques avec un professionnel qualifié »
Les audits intrusifs
Des sociétés en cybersécurité réalisent des audits intrusifs.
Concrètement, elles :
- simulent des attaques du système d’information,
- fournissent un rapport des failles détectées, des recommandations,
- proposent des solutions.
Que faire en cas de cyberattaques ?
Les bons gestes d’urgence
Pour connaître les gestes préconisés en fonction du type de l’attaque, consultez le site Cybermalveillance et commencez un diagnostic.
Pour connaître l’essentiel des menaces et comment y réagir, consultez la synthèse : « Les essentiels de votre sécurité numérique ».
Les organismes à contacter
Plusieurs interlocuteurs existent :
- le site du dispositif Cybermalveillance,
- se rendre à la police ou à la gendarmerie,
- si vous représentez une entité de taille intermédiaire (une PME, une association etc.), vous pouvez contacter votre CSIRT régional
❓ Les CSIRT (Computer Security Incident Response Team) régionaux sont, en France, à l’échelon d’une région, des centres de réponse en cas d’attaques cyber pour les entités victimes de taille moyenne
En résumé
Tout le monde peut être victime d’une cyberattaque.
Il existe des moyens simples pour prémunir des cybermenaces et en priorité :
- utiliser des mots de passe forts,
- mettre à jour ses logiciels,
- faire des sauvegardes régulières,
- ne pas partager des informations sensibles (mots de passe,
coordonnées bancaires), - en entreprise : sensibiliser les collaboratrices et les collaborateurs.
Qui suis-je ?
Je suis Jordane, assistante à distance.
Je mets à profit mes 13 années d’expériences dans le secrétariat et la formation Virtu’Elles Assist, pour aider les entrepreneurs qui veulent se concentrer sur le cœur de leur métier et la création de valeur pour leurs clients, en diminuant le temps passé sur le back-office.
Je propose la mise en place et le suivi d’outils d’organisation adaptés à vos besoins.
Plutôt que de perdre votre énergie sur des tâches qui vous rebutent, et si vous déchargiez cette partie sur une professionnelle qui s’en réjouit ?
Devenez plus rentable en maximisant le temps passé sur ce que vous aimez !
Cet article vous a-t-il été utile ?
Qu’avez-vous mis en place pour protéger vos données ou votre entreprise ?
J’aimerais beaucoup lire vos réponses, n’hésitez pas à m’en faire part sur LinkedIn.
Cet article vous a plu et vous souhaitez avoir des informations sur la formation Virtu’Elles Assist ?
Prenez rendez-vous, je vous recevrai personnellement pour en parler.