Kiteworks, le leader en matière de confidentialité et de conformité des communications de contenu sensible grâce à son Réseau de contenu privé, a annoncé aujourd’hui, selon le rapport d’IBM sur le coût d’une violation de données 2024, que les identifiants compromis ou volés et le phishing étaient les deux vecteurs d’attaque initiaux les plus répandus, représentant entre 15 et 16 % des violations de données enregistrées, coûtant aux entreprises environ 4,81 millions de dollars par violation.1

Dans ce contexte, les experts de l’entreprise de cybersécurité et de conformité Kiteworks ont partagé leurs conseils sur comment les organisations peuvent empêcher le piratage des e-mails professionnels et que faire si votre e-mail professionnel est compromis.

1. Utilisez des e-mails sécurisés pour envoyer et recevoir du contenu sensible

Les organisations peuvent garantir la sécurité des e-mails de leurs employés en utilisant un service de messagerie sécurisée pour envoyer et recevoir du contenu. Utiliser un service de messagerie sécurisée implique généralement de chiffrer l’e-mail, y compris le corps de l’e-mail et les pièces jointes, pendant son trajet de l’expéditeur au destinataire. Le chiffrement vous permet de garder vos communications par e-mail privées et confidentielles et aide les organisations à être conformes aux réglementations sur la confidentialité des données comme HIPAA et RGPD. De plus, une passerelle de protection des e-mails (passerelle de protection des e-mails) garantit que l’expéditeur et le destinataire utilisent le même standard de chiffrement, éliminant ainsi le risque de contenu exposé avant réception.

2. Changez régulièrement votre mot de passe

Assurer la confidentialité des communications par e-mail garantit que les données personnelles, les informations médicales protégées et la propriété intellectuelle ne tombent pas entre de mauvaises mains. Exigez que les employés utilisent des mots de passe forts et uniques pour chaque compte lié au travail et qu’ils les changent régulièrement. Envisagez d’utiliser un gestionnaire de mots de passe pour aider à gérer des mots de passe complexes.

Choisir des mots de passe forts et utiliser d’autres formes de contrôles d’accès aux données comme l’authentification multifactorielle (MFA) sont également essentiels pour protéger les comptes et leur contenu sensible des cybercriminels. Un mot de passe en minuscules de six caractères peut être craqué en quelques minutes. Assurez la robustesse des mots de passe en créant des mots de passe longs et complexes, avec au moins huit caractères et des symboles spéciaux.

3. Évitez de cliquer sur les liens dans les e-mails

Les cybercriminels utilisent régulièrement les e-mails pour tromper les employés et leur faire partager des données sensibles comme les identifiants pour accéder aux e-mails et aux comptes bancaires. Cela s’appelle le “phishing“. Un moyen efficace de protéger votre organisation contre le phishing est de fournir une formation à la sensibilisation à la sécurité aux employés pour identifier à quoi peut ressembler une attaque de phishing typique. De plus, assurez-vous que vos employés sont formés pour signaler immédiatement tout e-mail suspect ou menace potentielle au département informatique ou à l’équipe de sécurité désignée.

Par exemple, sensibilisez les employés à faire preuve d’une extrême prudence lorsqu’ils cliquent sur des liens dans les e-mails, même s’ils semblent provenir de sources fiables. Parfois, ces messages peuvent sembler provenir de personnes au sein de votre organisation. Encouragez les employés à prêter attention à l’orthographe et à la grammaire utilisées dans les e-mails et à survoler les liens pour vérifier leur destination avant de cliquer.

Vérifiez toujours l’adresse e-mail de l’expéditeur ou le profil sur les réseaux sociaux pour vous assurer qu’il apparaît correctement. Méfiez-vous des fautes d’orthographe subtiles ou des variations qui pourraient indiquer un expéditeur frauduleux. Si un employé doute de la véracité de l’identité de l’expéditeur, il ou elle doit contacter directement l’expéditeur par une méthode de communication connue et fiable pour vérifier la légitimité du lien.

4. Évitez d’utiliser le Wi-Fi public

Les employés travaillant pendant leur trajet ou à distance depuis un lieu public utiliseront généralement une connexion Wi-Fi publique. Utiliser un réseau public pour des communications sensibles expose les employés, leurs organisations et leurs données sensibles à des risques. Les exemples incluent les attaques de l’homme du milieu (MITM), où des pirates interceptent votre trafic e-mail, et les attaques par malware, qui installent des logiciels malveillants pour accéder à vos comptes e-mail, voler des données ou endommager votre système. Ces attaques et d’autres similaires peuvent avoir des conséquences graves telles que le vol d’identité, la perte financière, l’atteinte à la réputation et la responsabilité légale si des données confidentielles sont exposées.

En alternative à l’utilisation du Wi-Fi public, offrez aux employés l’accès à un réseau privé virtuel (VPN) qui établit une connexion sécurisée et chiffrée entre leur appareil et un serveur distant. De plus, mettez en œuvre des protocoles de messagerie sécurisée comme SSL/TLS ou STARTTLS pour chiffrer tous les messages et pièces jointes.

5. Utilisez des logiciels antivirus et des services de chiffrement

Les logiciels antivirus (AV) jouent un rôle crucial dans la défense contre les attaques basées sur les e-mails en scannant les e-mails entrants et les pièces jointes à la recherche de virus, et en fournissant une protection en temps réel grâce à un pare-feu qui surveille le trafic réseau. Pour des formes plus avancées de malware comme les menaces persistantes avancées (APT), envisagez d’investir dans des solutions de protection avancée contre les menaces (ATP).

Assurez-vous que votre organisation dispose de solutions antivirus robustes et qu’elles sont régulièrement mises à jour pour intégrer les derniers correctifs de sécurité et définitions de menaces. Mettre à jour régulièrement votre logiciel antivirus est essentiel pour maintenir une protection optimale contre les menaces évolutives.

6. Développez un plan de réponse aux incidents

Pour répondre rapidement à toute violation de sécurité comme celles que nous avons discutées, les organisations devraient développer et mettre à jour régulièrement un plan de réponse aux incidents. Un plan de réponse aux incidents est une stratégie prédéfinie qui décrit les étapes nécessaires à suivre lorsqu’une organisation détecte une violation de sécurité.

Il implique des réponses techniques, des directives de communication et un guide de récupération étape par étape pour éradiquer la menace, communiquer les progrès aux parties prenantes et restaurer les opérations. En outre, envisagez de collaborer avec des services nationaux ou régionaux de lutte contre la fraude et la cybersécurité pour signaler les menaces importantes, ce qui peut aider à prévenir les cyberattaques potentielles et à renforcer la sécurité globale de l’organisation.

Patrick Spencer, porte-parole de Kiteworks, a partagé ses réflexions sur ce qu’il faut faire si les e-mails professionnels sont compromis :

“Avec environ 3,4 milliards d’e-mails malveillants circulant quotidiennement, il est crucial pour les organisations de mettre en place des mesures de protection solides contre le phishing et les attaques de compromission des e-mails professionnels (BEC). Si les e-mails professionnels sont compromis, une organisation doit immédiatement initier son plan de réponse aux incidents, qui comprend l’isolement des systèmes affectés, la conduite d’une enquête approfondie pour déterminer l’étendue de la violation et la notification des parties prenantes concernées.

Pour lutter efficacement contre le phishing et les attaques BEC, les organisations devraient se concentrer sur une formation complète des employés pour reconnaître les méthodes d’attaque courantes et les risques de cybersécurité. L’adoption de protocoles d’authentification des e-mails et la vérification de la légitimité des expéditeurs d’e-mails sont également des étapes essentielles. De plus, l’utilisation du chiffrement des e-mails, l’application de contrôles financiers rigoureux tels que la vérification en deux étapes, et la réalisation d’audits de sécurité réguliers aideront à détecter et à répondre rapidement aux activités inhabituelles.

Protéger les informations personnelles identifiables et les informations médicales protégées (PII/PHI), ainsi que la propriété intellectuelle (IP) est tout aussi important pour éviter d’éventuelles amendes réglementaires. Les organisations devraient s’assurer que toutes les informations sensibles sont identifiées, classifiées et protégées avec des méthodes de chiffrement robustes comme l’AES-256. Les employés devraient être formés à la gestion appropriée du contenu confidentiel, couvrant l’identification, la protection et la réponse aux incidents. Une surveillance et un audit réguliers des pratiques de sécurité aideront à maintenir la conformité avec les réglementations en évolution et les menaces émergentes.”

Demandes de renseignements médias

Jack Clifford
Email : jack@journalistic.org

Notes à l’éditeur :

  1. IBM | “Coût d’une violation de données 2024”
  2. Jumpcloud | “50+ Statistiques sur les attaques de phishing pour 2024”

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

< !--hide personalization elements before launch--> < !--floating demo for mobile-->
Explore Kiteworks