Moyen de communication le plus utilisé dans une entreprise, les e-mails sont en même temps la méthode privilégiée pour lancer une cyberattaque. En effet, les e-mails sont à l’origine de 91% des cyberattaques ciblées sur les entreprises. Ouvrir une pièce jointe, cliquer sur un lien ou effectuer un transfert d’argent: dans près de 100% de ces attaques par e-mail, une action de la part du destinataire est requise pour que l’escroquerie réussisse.
L’on distingue en principe deux types d’e-mails dangereux: ceux avec et ceux sans maliciel.
10% des attaques par e-mail contiennent des maliciels. Il s’agit le plus souvent de courriels qui comportent une pièce jointe infectée quel que soit le type de fichier. Si le destinataire de l’e-mail ouvre la pièce jointe, son ordinateur sera infecté. Un rançongiciel, aussi appelé logiciel de rançon, peut paralyser tout le système informatique en cryptant les ordinateurs infectés. Pour le décryptage, les cybercriminels exigent en général une énorme rançon.
Beaucoup plus fréquentes, les attaques par e-mail qui ne contiennent pas de maliciel sont de l’ordre de 90%. Dans ces cas, les cybercriminels utilisent une fausse identité pour accéder à des informations ou données d’entreprise. Ils essayent par exemple d’obtenir des mots de passe à l’aide de sites frauduleux. Lorsqu’un mot de passe a été «hameçonné», les escrocs cherchent à l’exploiter sur différents services web. C’est pourquoi il ne faut jamais utiliser le même mot de passe, mais recourir à un gestionnaire de mots de passe.
L’arnaque au CEO, ou arnaque au président, est un exemple d’e-mail sans maliciel qui a causé de grands dommages ces dernières années. Selon un rapport du FBI, ce type d’escroquerie a entraîné des pertes de 26 milliards de dollars, soit près de 25 milliards de francs suisses, dans le monde entre 2016 et 2019. L’arnaque au CEO consiste pour les cybercriminels à usurper l’identité d’un dirigeant d’entreprise dans le but de demander par e-mail aux collaborateurs d’effectuer une transaction financière ou d’envoyer des documents confidentiels. Les escrocs espèrent que les collaborateurs feront l’impasse sur certaines vérifications en les mettant sous pression. Le montant versé est perdu la plupart du temps, car l’argent est transféré sur une série d’autres comptes peu après le virement. Sa trace se perd rapidement et il est alors impossible de récupérer l’argent.
Comment les entreprises et leurs collaborateurs peuvent-ils faire face à ce flot d’e-mails criminels? De nouvelles méthodes d’attaque apparaissent sans cesse. À chaque fois, le service chargé de la sécurité informatique d’une entreprise a besoin d’un certain temps pour adapter son dispositif de sécurité afin que des e-mails ne parviennent pas dans la boîte de réception du collaborateur. C’est pourquoi en cas d’e-mail suspect, il faut vérifier que l’adresse de l’expéditeur soit correcte et ne pas cliquer sur des liens. Si l’expéditeur prétendu de cet e-mail suspect est un supérieur ou un collaborateur, il faut toujours d’abord appeler la personne en question et lui demander si la demande provient effectivement de sa part. «La culture d’entreprise est décisive dans ces cas. Les collaborateurs ne doivent pas hésiter à demander conseil ou à signaler un incident au helpdesk informatique», explique Marc Etienne Cortesi, chief information security officer de la Bâloise. Ce n’est que si les responsables informatiques ont connaissance des e-mails qu’ils peuvent adapter le dispositif de sécurité en conséquence.
