La période des fêtes est un moment très intense pour tous et les cybercriminels le savent. Tandis que les entreprises se concentrent sur la clôture de l’exercice financier et que les employés sont occupés par les vacances et les achats de cadeaux, les pirates planifient leurs attaques ciblées.
La période avant Noël est une haute saison pour la cybercriminalité. Les attaquants profitent de la charge de travail de fin d’année et des habitudes de communication saisonnières pour lancer des campagnes de piratage psychologique et d’hameçonnage très convaincantes dans les environnements B2B. Les absences pour cause de vacances, l’augmentation du nombre d’e-mails liés aux ressources humaines et aux finances, ainsi que l’afflux de notifications de colis créent des conditions idéales pour les actes malveillants. Les cinq recommandations suivantes mettent en évidence les risques les plus critiques et la manière dont les organisations peuvent se protéger efficacement.
Définir des processus d’approbation clairs
Pendant la période des fêtes, de nombreux employés sont absents, ainsi des remplaçants prennent le relais et les équipes fonctionnent souvent en effectifs réduits. Cela peut perturber ou affaiblir la communication interne et les processus d’approbation, ce qui constitue un terrain fertile pour les attaques de type « Business Email Compromise » (BEC), également connues sous le nom de « fraude au président ». Les attaquants se font passer pour des cadres, des prestataires de services ou des équipes financières afin de faire pression sur les employés pour qu’ils effectuent des paiements urgents ou divulguent des informations sensibles.
Il faut établir des règles claires en matière de remplacement et d’approbation qui restent valables pendant les périodes de vacances. Le principe du double contrôle doit toujours s’appliquer, même dans les cas apparemment urgents. De plus, il convient de faire appel à des solutions avancées de sécurité des e-mails avec une protection BEC dédiée et une détection du phishing basée sur l’IA capable d’identifier les modèles de communication suspects.
Sensibilisez les employés aux questions RH
Les sujets tels que les jours de congé restants, les fiches de paie, les changements fiscaux ou les cotisations sociales sont particulièrement courants en fin d’année. Les cybercriminels utilisent ces thèmes comme appâts pour des tentatives de phishing ciblées. Les e-mails qui semblent provenir du service RH et qui incitent les destinataires à cliquer sur un lien ou à ouvrir une pièce jointe ont un taux de réussite particulièrement élevé pendant cette période.
Il convient de rappeler aux employés que les communications liées aux ressources humaines ne nécessitent jamais la saisie d’un mot de passe ou la soumission non sollicitée de documents personnels. En cas de doute, un simple appel téléphonique au service des ressources humaines permet d’éclaircir la situation. Sur le plan technique, une protection complète contre le phishing, comprenant une protection au moment du clic (réécriture d’URL) et une reconnaissance de modèles basée sur l’IA capable d’analyser les pièces jointes telles que les formulaires, ajoute une couche défensive importante.
Surveiller les notifications relatives aux cadeaux, aux bons d’achat et aux colis
Qu’il s’agisse de programmes de cadeaux internes, d’incitations pour les employés ou de colis privés livrés au bureau, le nombre de messages légitimes et frauduleux concernant les bons d’achat, les livraisons et les promotions augmente fortement en décembre. Les cybercriminels exploitent cette situation en intégrant des liens malveillants dans de fausses notifications d’expédition ou des e-mails frauduleux contenant des « bons d’achat ».
Il est judicieux de définir des règles internes claires quant à la manière dont les programmes officiels de cadeaux ou de primes sont communiqués. Il faut exhorter le personnel à traiter avec prudence les liens suspects de suivi de colis ou de bons d’achat, à ne jamais cliquer impulsivement et à signaler immédiatement les messages suspects au service informatique.
Mettre en place des mécanismes anti-fraude
En fin d’année, les approbations budgétaires, la facturation et la conclusion des projets battent leur plein, car de nombreuses entreprises clôturent leur exercice financier. Les cybercriminels exploitent délibérément cette période mouvementée pour injecter de fausses factures, des rappels ou des demandes de paiement dans les flux de travail existants. Un seul clic imprudent peut entraîner des pertes financières importantes.
Il est prudent de mettre en place des mécanismes anti-fraude robustes et d’automatiser la vérification des factures dans la mesure du possible. Les plateformes modernes de sécurité des e-mails peuvent analyser les pièces jointes suspectes dans des environnements sandbox afin de détecter les logiciels malveillants cachés avant qu’ils n’atteignent la boîte de réception d’un employé.
Appliquer les normes d’authentification
Non seulement l’entreprise en question, mais aussi ses fournisseurs et ses partenaires fonctionnent souvent avec un personnel réduit pendant les vacances. Cela peut retarder les réponses et ouvrir la porte à des tentatives de fraude, où les attaquants se font passer pour de nouveaux contacts ou des remplaçants afin de demander des modifications des coordonnées bancaires.
Il faut utiliser systématiquement des protocoles d’authentification de domaine tels que DMARC, DKIM et SPF pour vérifier l’authenticité des e-mails entrants. Encourager ses partenaires et fournisseurs à adopter également ces normes est encore plus opportun. Cela renforce la sécurité de l’ensemble de la chaîne d’approvisionnement, en particulier pendant les périodes saisonnières à haut risque.
Les personnes et la technologie comme ligne de défense ultime
Les cybercriminels profitent de la réduction des effectifs et de l’augmentation des communications saisonnières pour mettre en œuvre leurs stratagèmes. Pour éviter d’être victimes d’attaques de phishing, les organisations doivent compléter leur pare-feu humain par des mesures de protection techniques intelligentes.
Lorsque les personnes et la technologie travaillent main dans la main, les entreprises peuvent faire passer leur cybersécurité au niveau supérieur.
