En cette année particulière et compte-tenu de son rôle majeur dans l’actualité sportive, la France est au premier plan de l'attention des médias du monde entier. Une mise en lumière qui s’accompagne souvent d’une augmentation de la menace cyber pour les collectivités, le grand public mais également pour les entreprises et leurs dirigeants. Le contexte géopolitique actuel renforce ce risque. Selon une source officielle, la cybermenace pourrait être multipliée par dix sur la période de l’été.

Voici donc quelques conseils pour vous protéger.

Pour un utilisateur, ces cybermenaces, escroqueries, vont être démultipliées et vont être en lien avec ce contexte sportif, comme par exemple  : de faux jeux concours pour faire gagner des places aux collaborateurs ou aux clients, par exemple. Le risque se traduit principalement par l’augmentation des campagnes de phishing (hameçonnage).

L'hameçonnage est une technique frauduleuse destinée à leurrer l'internaute pour l'inciter à communiquer des données personnelles (comptes d'accès, mots de passe…) et/ou ses coordonnées bancaires en se faisant passer pour un tiers de confiance.  Concrètement, ces attaques ont pour objectif soit : 

• le vol de votre identifiant et votre mot de passe
• la récupération de vos coordonnées bancaires
• la propagation d’un virus sur votre ordinateur

En tant que courtier partenaire et dans le cadre de l’exécution de la Convention de Courtage, nous vous invitons à la plus grande vigilance et à la sensibilisation régulière de tous vos collaborateurs aux risques liés à la sécurité des données et/ou applications. 

Quelques bonnes pratiques à diffuser :

1. Sécurisez vos mots de passe : veillez à utiliser des mots de passe différents, longs et complexes pour chaque service ou site utilisé. Enfin, activez la double authentification chaque fois qu'elle vous est proposée.  
2. Soyez vigilant sur le phishing : ne répondez pas aux e-mails, SMS ou appels vous demandant des informations confidentielles,
   1. ne cliquez pas sur les liens qu’ils contiennent. En effet, les institutions légitimes ne demandent jamais ce genre de renseignements par mail.
   2. n’ouvrez pas les pièces jointes, à moins de connaître l’adresse mail exacte de l’expéditeur.
3. Utilisez uniquement le matériel de votre entreprise : ne connectez pas de clés USB inconnues, protégez votre écran avec des filtres de confidentialité lors de vos déplacements
4. Utilisez un VPN : lorsque vous êtes connectés à un réseau wifi public utilisez toujours une connexion VPN pour vous protéger.
5. Installez les mises à jour : que ce soit celles de votre antivirus ou celles proposées par le système d'exploitation de votre appareil, les mises à jour sont importantes pour corriger d’éventuelles failles de sécurité.
6. Sauvegardez vos données : les sauvegardes régulières de vos données sur des systèmes externes vous permettront de redémarrer plus facilement votre activité en cas de cyberattaque.
7. Séparez vos usages professionnels et personnels : ne mélangez pas vos données personnelles de vos données personnelles, séparez vos usages et votre matériel pour dissocier vos activités.

Vous disposez sur le site www.cybermalveillance.gouv.fr de conseils, de supports et d’une formation en ligne pour vous et vos collaborateurs afin de vous sensibiliser aux différentes menaces.

Gérer ses mots de passe :

Pour bien protéger ses données et son système d’information, la première étape consiste à concevoir des mots de passe robustes et différents pour chaque site. 

Une technique très facile consiste, à partir d'une phrase qui vous est personnelle, de récupérer les premières lettres de chaque mot et/ou de convertir les mots en phonétiques, vous obtiendrez ainsi facilement un mot de passe robuste.

Quelques exemples :

• La phrase : « Je suis devenu un expert du phishing grâce à vous, Merci ! » donne le mot de passe : « Jsd1edpgav,M! »      
• La phrase : « J’ai acheté huit CD pour cent euros cet après-midi » donne le mot de passe : « ght8CD%E7am »

Des mots de passe différents sur chaque site doivent être créés, car en cas de piratage d’un site et détection de votre mot de passe, un pirate pourrait se connecter avec les mêmes identifiants sur d’autres sites. Chaque site doit donc avoir son propre mot de passe.

Identifier le phishing :

La deuxième étape consiste à savoir identifier le phishing, via tous les canaux possibles,  il en existe au moins 5 :  

• L’e-mail, avec des liens, des QR codes ou des pièces jointes
• Le SMS, avec des liens vous renvoyant sur de faux sites
• L’appel téléphonique (le faux support technique, le faux conseiller bancaire...)
• Le flyer (la fausse amende ou le faux avis de passage avec un QR code)
• La clé USB (clé USB volontairement abandonnée ou gentiment offerte)

Un attaquant utilise des liens pour vous piéger avec des faux sites web pour récupérer des informations comme votre mot de passe, vos coordonnées bancaires, des données personnelles…

Malheureusement, avec le développement de l'intelligence artificielle, ces attaques sont de plus en plus sophistiquées et difficiles à reconnaitre, d'où l'importance de rester vigilant et de diffuser ces bonnes pratiques dans votre entreprise.

En cas de doute sur le message ou la demande pour laquelle vous êtes sollicité, connectez-vous sur le site officiel ou contacter votre interlocuteur via un autre canal.

Sur vos e-mails, effectuez toujours une étude du message en 3 temps :

• 1ère étape : Je vérifie l’identité de l’expéditeur

Vérifiez toujours l’adresse de l’expéditeur, ne vous fiez pas au nom d’affichage dans votre messagerie. Un attaquant peut très facilement usurper le nom d’affichage de l’expéditeur mais pas l’adresse mail, il faut donc bien vérifier ce champ.

• 2ème étape : J’analyse le contenu de l’email

Analysez le contenu de l’e-mail, prenez du recul par rapport au message. Quelques éléments doivent attirer votre attention :

- Vous n’êtes pas nommé directement dans l’e-mail (nom/prénom)

- Il présente un gain d’argent, d’impact financier, une offre inattendue ou une menace

- Il vous met dans une situation d’urgence, de stress 

- Vous disposez d’une échéance temporelle pour réaliser une action

Un attaquant peut facilement créer un e-mail de phishing pour vous inciter à « cliquer ». Pour rendre son e-mail plus réaliste, il peut récupérer des images sur internet ou des modèles d’e-mails pour les copier. Ne vous fiez donc pas à l’apparence et au contenu d’un e-mail.

• 3ème étape : Je contrôle les liens et les pièces jointes 

Contrôlez les liens avant de cliquer :

• Vérifiez le site vers lequel le lien vous envoie et assurez-vous qu’il s’agit du site officiel de l’éditeur
• En cas de doute connectez-vous directement sur le site sans cliquer sur le lien

Notre partenaire www.cybermalveillance.gouv.fr vous accompagne dans le diagnostic de votre problème (notamment pour les particuliers). Vous trouverez également sur leur site un ensemble d’expert cyber (label ExpertCyber) qui pourront vous accompagner.