Lors des JO de Tokyo en 2021, 450 millions de tentatives de cyberattaques avaient été repérées. Alors que le nombre de cybermenaces ne cesse d’augmenter chaque année, l’Afnic rappelle que toutes les entreprises, même les plus petites, doivent mettre en place des moyens de se protéger pour garantir leur pérennité. L’association en charge du .fr liste ainsi les 5 cyberattaques dont les TPE et PME doivent particulièrement se méfier durant les JO.
Les attaques par Déni de Service Distribué (DDoS)
Les attaques DDoS visent à rendre un site web ou un service en ligne indisponible en le submergeant de trafic. Même exécutées sur un simple formulaire de contact sur un site internet, ces attaques peuvent perturber gravement les opérations d’une entreprise. Des attaquants peuvent également menacer l’entreprise d’une attaque DDoS et lui demander une somme d’argent pour ne pas l’attaquer.
Conseils : la TPE/PME pourra se rapprocher de son hébergeur et lui demander s’il propose des protections contre les attaques DDoS. Il s’agira, par exemple, de couper le flux des requêtes DNS et de les ignorer le temps de l’attaque.
Les attaques par ransomware
Un cybercriminel qui parvient à installer un logiciel de rançon sur le réseau d’une entreprise pourra ensuite en chiffrer les fichiers sensibles et les rendre inaccessibles jusqu’à ce qu’une rançon soit payée pour obtenir la clé de déchiffrement. Bien souvent, même une fois la rançon payée, non seulement les données ne sont pas récupérées, mais elles se retrouvent en vente sur le dark web.
Conseils : une double approche doit être adoptée. D’une part, des sauvegardes régulières des données doivent être réalisées et, c’est primordial, déconnectées du réseau une fois la sauvegarde effectuée. D’autre part, les mises à jour de sécurité doivent toujours être installées rapidement (en particulier pour les systèmes d’exploitation, les navigateurs internet et les outils de bureautique), car chaque faille de sécurité non corrigée est une porte d’entrée supplémentaire pour infiltrer le réseau et les ordinateurs.
Le phishing
Pour perpétrer cette attaque, un cybercriminel va envoyer un e-mail ou un SMS frauduleux qui semble provenir d’une source fiable pour inciter le destinataire à révéler des informations sensibles (un mot de passe, par exemple) ou à installer un logiciel malveillant.
Conseils : l’entreprise doit avant tout former ses salariés à identifier les messages suspects (notamment ceux qui véhiculent une notion d’urgence) et à vérifier l’authenticité des liens et des expéditeurs avant de cliquer ou de répondre. Tous les sujets d’actualité « brûlante » peuvent servir de leurre pour tromper la vigilance des employés et les faire tomber dans le panneau. L’activation d’un 2ème facteur d’authentification (mot de passe + code temporaire) est une mesure de protection très efficace, et l’utilisation d’un filtre anti-spam peut également aider.
Usurpation d’identité et fraude au président
Ces attaques impliquent l’usurpation d’identité d’une personne dirigeante de l’entreprise pour tromper les employés et les inciter à effectuer des transferts de fonds ou à révéler des informations confidentielles.
Conseils : des procédures de vérification strictes doivent être mises en place pour les demandes de transferts financiers, de changement d’IBAN salarié ou fournisseur, ou de divulgation d’informations sensibles, sans exception possible. Ici encore, la sensibilisation des salariés à ces types de fraude doit être réalisée, en parallèle d’une communication interne rigoureuse sur les bonnes pratiques.
Exfiltration de données et fraude
Le cybercriminel vole ici des informations sensibles comme des données clients ou financières, afin de les revendre sur le dark web ou de les utiliser pour des fraudes telles que l’usurpation d’identité, la fraude à la carte de crédit, la fraude bancaire, le phishing et d’autres formes de criminalité financière.
Conseils : au-delà d’une protection renforcée des bases de données avec des systèmes de chiffrement et des accès restreints, la TPE/PME devra former ses salariés à reconnaître les tentatives de fraude et à signaler immédiatement toute activité suspecte.
Le site Cybermalveillance propose un parcours de sensibilisation accessible à tous les publics : https://www.cybermalveillance.gouv.fr/sens-cyber/apprendre
Voir nos prestations en e-réputation : votre-reputation.com
Et spécialement la rubrique Professionnels, Entreprises et Dirigeants : votre-reputation.com/entreprises-et-dirigeants/
Voir aussi nos offres de veille-image : votre-reputation.com/veille/
