5 façons d'éviter les escroqueries par hameçonnage lorsque vous travaillez à domicile
La pandémie de COVID-19 a bouleversé la vie quotidienne de millions de personnes. Avec autant de personnes travaillant à domicile pour rester en sécurité, le « business as usual » est très différent de ce qu'il était avant le verrouillage. Bien que le télétravail pose divers défis, le risque accru de cybersécurité pour les entreprises dont les employés travaillent à distance est souvent négligé. La plupart des organisations n'étaient pas préparées au passage au télétravail, et certaines ont été victimes d'escrocs qui profitent du chaos. Les attaques d'ingénierie sociale fonctionnent mieux lorsque les employés baissent leur garde, et travailler dans le confort de leur propre maison a amené même les employés les plus avertis en matière de technologie à commettre des erreurs de sécurité.
Les employés supposent souvent que le service informatique de leur entreprise a sécurisé leur environnement de travail numérique. Cette sécurité perçue permet souvent aux menaces de phishing de réussir et aux données de l'entreprise d'être menacées. Bien que le maintien d'un environnement de travail sécurisé puisse être un défi même sur le lieu de travail, il est encore plus essentiel de souligner l'importance de la cybersécurité lorsque vous travaillez à partir d'un bureau à domicile.
Les tentatives d'hameçonnage visant les employés travaillant à domicile réussissent trop souvent pour trois raisons principales :
- Manque de connaissances techniques
- Manque de protocoles et de processus appropriés, ou ceux qui ne peuvent pas être appliqués facilement
- Manque de formation sur la sensibilisation à la cybersécurité
Nous avons demandé à nos partenaires de Global Learning System - un leader de la formation de sensibilisation à la cybersécurité - où ils voyaient les plus grandes faiblesses de la sécurité des bureaux à domicile et quelles mesures les employeurs et les employés peuvent prendre pour éviter les tentatives de phishing et les cyberattaques. Voici ce qu'ils avaient à dire :
Risque #1. COVID-19 l'environnement parfait pour les attaques de phishing
L'hameçonnage est un cybercrime dans lequel les escrocs incitent les individus à fournir des informations sensibles en se faisant passer pour une personne légitime par e-mail ou par téléphone. La pandémie de COVID-19 a donné aux escrocs qui lancent des attaques de phishing l'occasion idéale de contrôler les victimes en utilisant l'urgence et la peur de passer à côté. Les attaques de phishing COVID-19 courantes incluent des appels à l'action tels que "Découvrez où se trouvent les nouveaux cas autour de vous !" et "Nouveau vaccin disponible, obtenez-le maintenant!"
De plus, avec plus de personnes à la maison, il y a eu une augmentation du nombre d'escroqueries téléphoniques liées au COVID-19 ciblant à la fois les téléphones fixes et les téléphones portables. Des exemples de ces escroqueries incluent des auteurs proposant de désinfecter votre maison, prétendant être un client qui a besoin d'informations ou même se faisant passer pour le support technique de votre entreprise. Les employeurs doivent former leurs employés pour qu'ils soient en alerte accrue face à ces e-mails et appels téléphoniques liés à la COVID-19.
Soyez clair sur la manière dont votre organisation communiquera aux employés les informations liées à la pandémie, afin qu'ils puissent faire la distinction entre les véritables communications et les tentatives de phishing. Donnez aux employés des exemples d'e-mails ou d'appels de phishing afin qu'ils puissent comprendre le modèle et savoir quoi rechercher. Conseillez-leur de filtrer les appels provenant de numéros inconnus. Assurez-vous que tout le monde sait qu'il faut signaler les tentatives d'hameçonnage à votre équipe de sécurité ou à votre direction, afin que tous les membres de l'organisation restent informés.
Risque #2. Augmentation des textos pour la communication professionnelle
Avec de plus en plus de conversations quotidiennes à distance, les SMS liés au travail ont augmenté. Les employés utilisent désormais les textos comme moyen de communication avec leurs collègues et leurs clients. Les escroqueries par SMS en profitent en demandant aux utilisateurs de cliquer sur un lien, en les amenant sur un site Web pour plus d'informations ou pour télécharger un document. Une fois que les utilisateurs ont cliqué sur le lien, un logiciel malveillant est installé sur leur téléphone et les informations stockées sont à saisir.
Pour lutter contre les escroqueries par SMS, les entreprises peuvent exiger l'utilisation d'applications de messagerie cryptées qui fournissent un cryptage de bout en bout pour les communications professionnelles. Créez des protocoles spécifiques pour utiliser les SMS pour communiquer au travail, comme ne jamais envoyer de mot de passe par SMS ou toute autre information sensible. Formez les employés à ne jamais cliquer sur des liens ou déplacer des fichiers via du texte.
FORMATION GRATUITE SUR LA SÉCURITÉ AU TRAVAIL À DISTANCE
Risque #3. Utilisation accrue des médias sociaux sur les appareils de travail
Avec des employés coincés à la maison et beaucoup à la recherche d'interactions sociales, l'utilisation des médias sociaux a augmenté. Les médias sociaux ont toujours été une voie populaire pour les attaques de phishing, et les employés utilisant des appareils professionnels pour accéder à leurs comptes personnels de médias sociaux peuvent mettre vos données en danger. Un quiz Facebook inoffensif peut révéler des informations pouvant être utilisées pour déchiffrer des mots de passe. Une photo Instagram amusante de votre espace de bureau à domicile peut exposer des informations sur votre entreprise à travers l'écran en arrière-plan ou des papiers sur le bureau.
Pour éliminer ce comportement à risque, il est préférable de ne pas autoriser les employés à accéder aux plateformes personnelles de médias sociaux sur les appareils fournis par l'entreprise. Les employés doivent toujours utiliser un appareil personnel sans informations sur l'entreprise stockées pour les réseaux sociaux personnels. Vous pouvez également utiliser un système de gestion des terminaux pour surveiller l'utilisation des appareils par les employés.
Risque #4. Multitâche tout en travaillant à domicile
Le multitâche tout en travaillant à domicile est inévitable. S'éloigner des appareils de travail pour s'occuper des enfants ou des tâches ménagères peut entraîner des risques de sécurité imprévus. Les protocoles de sécurité de votre organisation doivent inclure les étapes appropriées pour sécuriser les appareils et les données lorsqu'un employé quitte l'espace de travail, et les mêmes règles s'appliquent pour un bureau à domicile.
Il est essentiel de former les employés à verrouiller l'écran de leur appareil chaque fois qu'ils quittent l'espace de travail. Suivre une politique de « bureau propre » et exiger un stockage verrouillable dans les bureaux à domicile minimisera également les risques de sécurité. Les employés doivent également éteindre ou désactiver les appareils intelligents tels qu'Amazon Alexa ou Google Home pour éviter de divulguer par inadvertance des informations sur l'entreprise.
Risque #5. Téléchargement d'applications non approuvées sur des appareils professionnels
Donner aux employés un accès administrateur sur les appareils fournis par l'entreprise signifie qu'ils peuvent télécharger et installer des applications librement. Dans une situation de travail à domicile, les employés peuvent être tentés de télécharger de nouveaux logiciels, plugins de navigateur ou extensions pour faciliter le travail. Cela peut entraîner des téléchargements de logiciels malveillants et des données volées.
Pour assurer la sécurité de l'équipement et des informations de l'entreprise, ne donnez jamais aux employés un accès administrateur aux appareils. Au lieu de cela, éduquez-les sur le processus de demande de nouveau logiciel et fournissez une liste des applications approuvées. Fournissez l'accès aux options sécurisées de logiciel en tant que service (SaaS) et interdisez la liaison des appareils de travail à du matériel externe, comme une imprimante ou un support amovible.
Protégez vos données en réduisant les risques
La liste ci-dessus des risques de sécurité possibles n'est malheureusement pas exhaustive. Avec la sophistication croissante des attaques de phishing et l'environnement COVID-19, il est plus important que jamais de revoir la configuration des employés distants et d'atténuer les risques potentiels.
Offrir à tous les employés une formation complète de sensibilisation à la sécurité qui comprend un élément de travail à distance augmentera votre « pare-feu humain » et réduira votre risque de violation de données. Cette formation est dispensée en ligne et peut aider à prévenir les incidents courants qui conduisent à des menaces telles que les logiciels malveillants, le phishing et les ransomwares.
---------------
Global Learning Systems offre une variété de ressources gratuites pour aider les organisations à se mettre à niveau en matière de cybersécurité dans cette nouvelle ère. Il comprend un cours en ligne gratuit, des articles de blog et des documents pour les employés.