Protégez votre startup des arnaques par email : conseils essentiels
Malgré les annonces répétées sur la « mort imminente de l'email », ce moyen de communication vieux de plusieurs décennies continue de prospérer dans le monde des affaires. Et malheureusement, il reste aussi l'outil de prédilection des cybercriminels pour pirater les entreprises, en particulier les startups.
Un simple email contenant un lien d'apparence légitime mais en réalité malveillant représente encore aujourd'hui l'une des techniques les plus dangereuses et efficaces dans l'arsenal des hackers. Ce type d'attaque a conduit à certains des plus gros piratages de ces dernières années, comme celui du géant des télécoms Twilio en 2022 ou encore de la plateforme Reddit l'an dernier.
L'art de la compromission d'email professionnel (BEC)
Si ces emails frauduleux sont parfois faciles à repérer grâce à des fautes d'orthographe ou une adresse d'expéditeur douteuse, il devient de plus en plus difficile de les distinguer des vrais tant les tactiques des cybercriminels gagnent en sophistication. C'est particulièrement vrai pour les attaques dites de « compromission d'email professionnel » (BEC en anglais).
Dans ce type d'arnaque, les hackers usurpent l'identité d'une personne connue de la victime (collègue, patron, partenaire...) afin de la manipuler pour qu'elle divulgue sans le savoir des informations sensibles ou effectue un paiement frauduleux. Le risque est majeur pour les entreprises et surtout les startups : rien qu'aux États-Unis, ce fléau a coûté près de 3 milliards de dollars aux entreprises l'an passé selon le FBI. Et la tendance ne faiblit pas.
Repérer les signes d'alerte
Heureusement, il existe des réflexes simples à adopter pour déjouer ces attaques :
- Méfiez-vous des emails envoyés en dehors des heures de travail habituelles.
- Vérifiez les noms (orthographe), les adresses email et liens suspects.
- Attention aux demandes urgentes ou inhabituelles.
Contactez directement l'expéditeur
Même si un email semble provenir d'une source fiable, le plus sûr est toujours de contacter directement l'expéditeur supposé (et non via les coordonnées fournies dans l'email) pour confirmer sa demande, surtout s'il s'agit d'une requête sensible (paiement, accès...)
Consultez votre équipe IT
Les arnaques de type « support technique » se multiplient, comme en témoigne le piratage de plus de 10 000 comptes Okta en 2022 via de fausses pages de connexion envoyées par SMS aux employés. En cas de message inattendu, demandez confirmation à vos experts IT.
Attention aux appels
Les hackers misent aussi de plus en plus sur le téléphone, comme lors du piratage de la chaîne d'hôtels MGM Resorts via un simple appel. Restez vigilants, même face à un contact en apparence légitime.
Mise en place de l'authentification multi-facteurs
Bien que l'authentification multi-facteurs (AMF) ne soit pas infaillible, elle complique grandement la tâche des cybercriminels en ajoutant une couche de sécurité supplémentaire. Pour aller plus loin, pensez aux solutions « sans mot de passe » comme les clés de sécurité matérielles.
Processus de paiement stricts
L'objectif final des hackers est souvent d'extorquer de l'argent en se faisant passer pour un fournisseur. Mettez en place un protocole strict pour les validations de paiement : double vérification via un second canal, contrôle des coordonnées bancaires...
En cas de doute, ignorez !
Le meilleur réflexe face à une tentative d'arnaque reste encore de l'ignorer. Pas certain que votre patron vous demande vraiment d'acheter des cartes cadeaux ? Ne répondez pas et prévenez votre service IT. Un appel suspect ? Raccrochez !
Les startups, de par leur croissance rapide et leurs effectifs souvent réduits, représentent des cibles de choix pour les cybercriminels. En adoptant les bons réflexes et en sensibilisant vos équipes, vous pouvez considérablement réduire les risques de voir votre entreprise victime d'une arnaque par email potentiellement dévastatrice. Restez vigilants !