NIS2: Êtes vous dans le champ d'application ?
La nouvelle loi belge sur la cybersecurité va bientôt entrer en vigueur. Consultez-la maintenant.
Les cybercriminels sont toujours à l'affut du profit et exploitent des informations personnelles et professionnelles pour parvenir à leurs fins. Ils peuvent par exemple tenter de voler de l’argent ou de se faire passer pour quelqu’un d'autre afin d'accéder à des services non désirés et/ou illégaux Afin de réaliser ces profits, ils tenteront d'atteindre leur victime et s'assureront d'obtenir une réaction de sa part, qu'il s'agisse de télécharger un fichier, de cliquer sur un lien ou de divulguer un code secret ou un mot de passe. La victime ne sait pas à l’avance qu’elle est la cible d’une telle activité malveillante.
Les arnaques peuvent prendre la forme de SMS, d’e-mails ou de publications sur les médias sociaux. Comme il n'est pas possible de prévoir le moment où surviendra une éventuelle cyberattaque, il convient d'accorder une attention suffisante à tous les messages inattendus. Le type de cyberattaque le plus répandu est le phishing. Afin de vérifier la véracité d’un message, voici quelques questions utiles qui peuvent servir à détecter une arnaque :
• Est-ce inattendu ?
• Est-ce urgent ?
• Connaissez-vous l’expéditeur ?
• La question qui vous est posée vous semble-t-elle étrange ?
• Où mène le lien sur lequel on vous incite à cliquer ? (survolez-le avec votre souris, ne cliquez pas)
• Le message contient-il un code QR ?
• Est-ce que l’e-mail s’adresse à vous personnellement ?
• Le message contient-il beaucoup de fautes d'orthographe ou de grammaire ?
• Le message se trouve-t-il dans votre dossier Spam/Junk/Indésirables ?
• Est-ce que quelqu’un essaie d'éveiller votre curiosité ?
• On vous demande d'effectuer un paiement ?
Les personnes malveillantes tentent de créer des sites Internet qui suscitent l'intérêt du visiteur, comme une boutique en ligne ou un jeu en ligne, mais aussi des portails de ressources attrayants pour les entreprises, en leur donnant une apparence aussi légitime que possible.
Ils essaieront ensuite d'inciter le visiteur à acheter un article fictif, en lui faisant croire qu'il a gagné un cadeau ou un coupon spécial ou en lui fournissant un document demandé afin de voler ses informations professionnelles et personnelles qui lui permettront de générer des profits.
Les cinq trucs et astuces suivants permettent d'évaluer la légitimité d'un site Internet et de mieux identifier les sites malveillants.
Afin de faire croire qu'il s'agit du site officiel d'une organisation, les cybercriminels fournissent souvent une adresse qui ressemble à l'adresse légitime de cette organisation (par exemple monorganisation [.]be au lieu de mon [.]organisation [.]be). Une autre option consiste à utiliser un domaine de premier niveau différent du domaine légitime (par exemple, .org au lieu de .com ou .be). Ils peuvent aussi jouer avec les lettres et les chiffres afin de faire croire aux visiteurs qu'ils sont sur le bon site. Il leur suffit d’utiliser un « i » majuscule pour remplacer un « l » ou un zéro à la place d’un « o ».
Lorsque vous ne connaissez pas l'adresse légitime exacte d'une organisation ou d'une ressource Internet, n’hésitez pas à mener une recherche rapide sur l'un des moteurs de recherche les plus connus pour la retrouver, sans avoir à cliquer sur un lien suspect.
Le site Internet doit être connu du public : le responsable informatique de votre organisation peut toujours être consulté pour évaluer la légitimité du site Internet. On peut aussi consulter les avis en ligne pour s'assurer que le service fourni est réel et non une arnaque. Certaines solutions antimalware peuvent également prévoir dans leurs fonctionnalités une évaluation de la réputation des sites Internet.
Les escrocs tentent d'attirer l'attention des visiteurs d'un site Internet en affichant des réductions exagérées. Si c'est trop beau pour être vrai, ça ne l'est probablement pas.
Si vous devez par exemple saisir des informations personnelles en vue de la livraison et du paiement en dehors de la boutique en ligne initiale, cela peut vous mettre la puce à l’oreille. De même, le fait de demander un paiement par l'intermédiaire d'un tiers, par exemple une société de transport ou de livraison, est un moyen couramment utilisé par les cybercriminels pour voler de l'argent sans fournir de service en échange.
Le début d'une adresse web devrait afficher https, et pas seulement http. Cela signifie que les informations fournies par les visiteurs ne peuvent être lues que par le site Internet lui-même. Le « S » devrait toujours être présent lorsque vous surfez en ligne. Cependant, ce https n'est pas un gage suffisant.
Certaines informations personnelles ne sont pas utiles pour des services spécifiques. Pas besoin de renseigner votre numéro de registre national pour acheter quelque chose, par exemple. Si le site Internet demande des informations inhabituelles pour le service fourni, cela peut aussi être un signe d'escroquerie.
Les données personnelles sont des informations très précieuses pour les cybercriminels. Ils peuvent les utiliser pour se faire passer pour leur propriétaire ou pour cibler les collègues, les clients ou les fournisseurs d'une organisation. Ils peuvent également les utiliser pour mener des activités criminelles sous l'identité d'une autre personne ou pour accéder à des comptes bancaires, à des fournisseurs de téléphonie mobile et à bien d'autres choses.
Les Wi-Fi publics permettent à n'importe qui de se connecter à Internet, depuis n'importe quel lieu. Il s'agit d'une solution pratique car les gens peuvent accéder à des ressources professionnelles, faire des achats en ligne, naviguer sur des sites Internet ou gérer leurs médias sociaux où qu'ils soient. Cependant, comme leur nom l'indique, ils sont publics et tout le monde peut y accéder, y compris les escrocs et les criminels. S'ils sont mal configurés, ils peuvent être utilisés pour surveiller les activités des personnes qui y sont connectées et voler leurs informations en interceptant les données échangées.
Il s'agit par exemple des situations dans lesquelles vous avez besoin d'accéder à des informations en ligne alors que vous vous trouvez dans un aéroport, une gare, un bar, un restaurant ou un magasin connus.
Les cybercriminels peuvent imiter le nom du Wi-Fi d'une organisation pour inciter les gens à s'y connecter, par exemple parce qu'il offre une meilleure connectivité. Les organisations devraient toujours mettre en place un réseau Wi-Fi professionnel sécurisé afin de garantir un accès sûr à leurs ressources internes. En parallèle de ce Wi-Fi professionnel, un autre peut être mis en place pour des activités personnelles ou d'invités ; il sera alors nécessaire de créer un compte pour y accéder. Cette séparation est importante pour s'assurer que seules les bonnes personnes peuvent accéder aux informations de l'organisation. Le responsable informatique de votre organisation peut toujours être consulté pour s'assurer que le Wi-Fi disponible appartient bien à l'organisation.
Un VPN permet de crypter et de dissimuler le trafic Internet à toute personne qui tenterait « d'écouter » les données échangées. Le responsable informatique d'une organisation peut toujours être consulté pour voir si une solution VPN peut être fournie par l'organisation.
Mettez en place un réseau dédié auquel les collaborateurs et les visiteurs peuvent se connecter avec leurs appareils personnels. Ce réseau dédié doit être séparé du réseau interne de l'entreprise afin de ne pas risquer sa compromission. L'accès ne doit être accordé que par l'attribution d'identifiants uniques (c'est-à-dire un nom d'utilisateur et un mot de passe) aux personnes inscrites. En outre, comme meilleure pratique pour contrôler les utilisateurs qui ont actuellement accès au réseau, assurez-vous de limiter cet accès pour une durée limitée (limite de 24 heures, etc.).
Les incidents doivent toujours être signalés au responsable informatique, même s'ils n'ont été que constatés ou s'il y a un léger doute. Plus vite les bonnes personnes entreront en jeu, moins les conséquences de l'incident seront importantes.
Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité.
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.