10 règles pour sécuriser son SI : le phishing

Retour à Actualités
image expliquant que le SI doit être sécurisé

En cette période de télétravail accrue, il est possible que nous soyons davantage la cible de tentatives de phishing. Aujourd’hui “On estime qu’il y a plus de deux millions de Français qui sont victimes chaque année du phishing”*. Il nous semble donc nécessaire de rappeler en quoi cette technique consiste et comment éviter de se faire hameçonner.

illustrer le vol de donnéesQue sont les phishing ?

Le but du phishing est d’obtenir des informations personnelles relatives à nos comptes. (bancaires, de téléphonie mobile, de paiement en ligne…)

Pour y parvenir, rien de tel que de se déguiser et de se faire passer pour l’organisme officiel. Tout en comptant sur notre curiosité ou notre peur.

Comme, par exemple, un mail de notre banque nous demandant de nous connecter pour modifier nos identifiants suite à une opération douteuse ou une loterie nationale nous proposant de recevoir nos gains suite à un tirage au sort improbable.
Tous les scénarios sont possibles et pas si grossièrement présentés, les auteurs de phishing ayant, notamment, fait de gros progrès orthographiques.

La première erreur serait de croire y échapper. Or, un stress plus important un jour, un mail lu en diagonale et la fatigue brouillant notre vigilance… nous voici persuadés de remplir un formulaire officiel car les imitations de sites sont de mieux en mieux réalisées.

Comment les démasquer ?

Pour éviter tout simplement la catastrophe, rappelons-nous qu’en aucun cas nos codes, mots de passe, coordonnées bancaires ne doivent nous être demandés par mail !

Si, par hasard, cette demande provenait de l’organisme officiel cela serait une erreur professionnelle.
Vu que ces mails jouent, entre autres, sur nos peurs, il est important de ne pas agir dans la précipitation mais de bien lire le contenu du mail. Dans le doute il est toujours préférable de passer un coup de fil à notre banque, opérateur téléphonique, fournisseur d’accès… avant de cliquer sur tout hyperlien ou pièce jointe d’un mail.

Si le mail frauduleux comporte un hyperlien, en positionnant le curseur dessus sans cliquer, l’url s’affiche. e qui permet de vérifier s’il subsiste une petite coquille ou une légère différence prouvant qu’il ne s’agit pas du site officiel.
Un autre détail utile; il faut s’assurer que le site est protégé. S’il débute par « http » au lieu de « https » c’est qu’il s’agit certainement d’un faux site.

Ostin vous accompagne dans la mise en place de certificats SSL permettant de chiffrer les données de votre site et de garantir sa conformité numérique.

illustration d'une victime de hameçonnage Enfin, n’oublions pas une règle essentielle : 1 mot de passe pour 1 usage. L’auteur du phishing fera une pêche miraculeuse si notre mot de passe est utilisé pour différents usages !

>> lire l’article sur le bon usage des mots de passe

 

Pour savoir que faire en cas d’hameçonnage consultez également le site : www.cybermalveillance.gouv.fr

*franceinfo 2 juillet 2019 propos de Hugues Foulon. Directeur exécutif du groupe Orange en charge de la stratégie et des activités de cyber-sécurité.
Retour à Actualités