Nous sommes tous vulnérables à la cybercriminalité. En effet, les cybercriminels ne ciblent pas seulement les entreprises ou les gouvernements, mais aussi les particuliers. Dans de nombreux cas, il ne s'agit pas d'attaques techniques complexes ; la plupart des incidents se produisent parce que les gens sont trompés de manière professionnelle, après quoi leur compte est usurpé et ils perdent beaucoup, voire énormément d'argent.
« Il existe de nombreuses formes d'escroquerie en ligne, mais la plus importante est le phishing (ou hameçonnage ) sous toutes ses formes. Aujourd'hui, ces e-mails sont plus professionnels, rédigés dans un style approprié et dans votre propre langue », explique Katrien Eggers du Centre pour la cybersécurité Belgique, l'organisation à l'origine, entre autres, de Safeonweb. « Le fait que quelqu'un reçoive un tel mail n'est pas un problème en soi, mais cela en devient un lorsque l’utilisateur clique sur le lien. Il arrive alors souvent sur un site web qui ressemble en tous points à celui de sa banque ou à une fausse plateforme d'investissement. Aujourd'hui, ces sites sont si bien conçus que même les experts ne peuvent déceler la différence à l'œil nu. »
Restez vigilant
Qu'il s'agisse d'un clic imprudent, d'un mot de passe faible ou d'un logiciel qui n'a pas été mis à jour depuis longtemps, les cybercriminels sont à l'affût. Ils profitent de notre inattention, des routines que nous effectuons sans trop réfléchir, du manque de temps qui peut nous rendre moins vigilants ou de l'idée fausse que beaucoup de gens ont : « ça ne m'arrivera pas à moi ».
Voici quelques exemples de ce qui peut mal tourner :
- Vous cliquez sur un lien dans un mail qui ressemble à celui de votre banque, alors que vous savez que votre banque n'envoie généralement pas de mails contenant des liens.
- Vous utilisez le même mot de passe sur cinq plateformes différentes, car il est facile à mémoriser et ces plateformes ne sont pas utilisées pour des tâches importantes.
- Vous partagez un document avec un collègue via une application de chat, car vous étiez en train de discuter et cela va plus vite ainsi.
- Vous laissez votre ordinateur portable sans surveillance et sans verrouillage d'écran, car vous allez juste chercher un café et vous n’en avez pas pour longtemps.
Cela vous semble familier ? Sans doute avez-vous déjà vécu chacune de ces situations. Nous optons tous parfois pour une solution rapide et facile. Au travail, mais peut-être encore plus souvent à la maison, où nous sommes seuls responsables de notre sécurité en ligne. Après tout, quelle est la probabilité que cela arrive précisément à vous, à vos parents, à vos amis, à vos enfants... ? Ce sont ces négligences que les cybercriminels exploitent. Il s'agit d'une responsabilité partagée. Et cela commence par une prise de conscience.
Pour vous assurer qu'un site web est bien le bon, qu'il s’agit effectivement de celui de votre banque, de Bpost, de My eBox ou d'une autre plateforme, il faut vérifier le lien. Eggers : « Peu de gens le font, mais c'est souvent le principal indice. Dans le cas d'un mail « provenant d'Argenta », passez votre souris sur le lien et vous verrez s'il renvoie effectivement vers Argenta.be et non vers Argenta.com ou Argenta.ar. Sachez également comment fonctionne un URL, ce qui précède le .be est important : Argenta.info.be n'est pas un lien vers Argenta, mais vers Info.be. Si vous arrivez vraiment sur un domaine .be, vous pouvez être presque sûr qu'il s'agit d'un site web fiable. »
Que pouvez-vous faire ?
Réfléchissez à deux fois avant de cliquer. Vérifiez les liens et les expéditeurs, surtout si un message semble urgent. En cas de doute, demandez l'avis d'un collègue, d'un ami ou de votre partenaire. « Si le message provient de My eBox ou de Bpost, en cas de doute, rendez-vous sur leur site web ou utilisez leur application. Vous éviterez ainsi d'atterrir sur un site frauduleux via un lien contenu dans un faux mail », explique M. Eggers.
Utilisez des mots de passe forts et uniques. Mieux encore : utilisez un gestionnaire de mots de passe et activez la vérification en deux étapes lorsque c’est possible. « La vérification en deux étapes permet de prévenir pratiquement toutes les tentatives de piratage d'un compte », explique M. Eggers.
Installez les mises à jour logicielles. Cela peut arriver à un moment inopportun, mais en plus de nouvelles fonctionnalités, les mises à jour contiennent également une protection contre les vulnérabilités récemment découvertes. Maintenez à jour votre système d'exploitation (Windows, MacOS, Android, iOS...) ainsi que les logiciels ou applications que vous utilisez.
Soyez prudent lorsque vous partagez des informations. Traitez avec prudence les données confidentielles de votre organisation, de vos clients et de vos fournisseurs. Ne partagez les données sensibles que par des canaux sécurisés, jamais par WhatsApp ou par mail sans cryptage. Ne répondez pas non plus si quelqu'un vous demande de confirmer quelque chose via Itsme ou de communiquer les codes de votre banque par mail ou par téléphone.
« L'Europe a lancé des initiatives législatives telles que NIS, NIS2 et le Cybersecurity Resilience Act. Elle le fait afin d'inciter les entreprises et les pouvoirs publics à sécuriser au mieux leurs systèmes et à rendre notre société numérique cyber-résiliente. »
Que pouvez-vous faire en tant qu'organisation ?
Informer, informer sans relâche
Les cybermenaces évoluent rapidement. Des formations régulières ou des moments de sensibilisation permettent de maintenir la vigilance.
« Mais cela ne se limite pas aux tests de phishing. Si ceux-ci sont utiles, ils ne constituent en aucun cas une solution miracle. Et même si chaque employé est concerné par ces tests, il y en aura toujours un qui cliquera sur le lien. La sensibilisation est nécessaire, mais elle n'exclut pas la possibilité que quelqu'un se fasse piéger par un véritable mail de phishing », explique M. Eggers.
Œuvrez vous-même à la cybersécurité
En tant qu'organisation, vous pouvez faire beaucoup dans le domaine de la cybersécurité. Veillez à ce que vos données, vos systèmes et vos services soient bien sécurisés. Pour cela, faites appel à des experts. Vérifiez bien quelles sont les obligations légales dans votre secteur et respectez-les.
« Vous pouvez compter sur le fait que tous les prestataires essentiels (hôpitaux, aéroports, etc.) font tout leur possible pour développer des services suffisamment résilients. Pour résister aux cyberattaques et remettre rapidement en ligne l'infrastructure sous-jacente en cas d'attaque. »
Au moindre doute, signalez les infractions
Vous soupçonnez un abus, vous remarquez quelque chose de suspect ? Ne prenez aucun risque et signalez-le. En tant qu'organisation, veillez également à ce que les procédures de signalement soient connues et que les utilisateurs sachent où et comment signaler quelque chose.
Personne n'est « coupable »
Eggers tient à souligner une chose : être victime d'une arnaque, cliquer consciemment ou inconsciemment sur un lien ou communiquer ses coordonnées n'est pas une honte et ne fait pas de vous un internaute « stupide ». « Nous devons nous éloigner de cette attitude de blâme et d'humiliation, car souvent, il ne s'agit pas d'un comportement irréfléchi. Vous êtes tombé dans un piège très bien conçu. Au CCB, nous voyons souvent des gens qui réfléchissent correctement, qui connaissent bien les indices suspects mais qui cliquent ou signent quand même quelque chose, car ils sont occupés à répondre au téléphone ou à faire autre chose en même temps. »
« Le vrai coupable, de l'autre côté, est un professionnel. Il connaît les techniques de vente, les astuces d'escroquerie, il sait comment convaincre les gens. Vous n'êtes pas stupide si vous tombez dans le piège, vous êtes la victime d'un criminel entraîné. »
Tout le monde peut un jour ou l’autre être victime d'une escroquerie, mais certains se laissent plus facilement tromper par un mail concernant un faux colis, d'autres par un ami en ligne qui leur demande de l'argent après un certain temps, ou par une opportunité d'investissement unique. Vu ces circonstances, le CCB met actuellement en garde contre les fraudes à l'investissement via Safeonweb. « Les gens sont attirés par de faux profils de sociétés, des publicités, des groupes WhatsApp et même des sites de rencontre. Ils se retrouvent ainsi pris dans un carrousel aux investissements, avec des sites web parfaitement construits et même un service d'assistance où ils peuvent joindre les escrocs. Ils sont systématiquement convaincus de continuer à investir, au besoin en contractant des emprunts. Beaucoup de victimes ne pensent même pas être des victimes et ne se rendent pas compte qu'elles ne reverront jamais leur argent. »
Combien coûte la fraude ?
Le phishing et la fraude à l'investissement sont aujourd'hui très répandus dans notre pays. L'impact de ces deux types de fraude varie. Le phishing est le problème le plus grave, car il fait beaucoup plus de victimes. Les montants en jeu sont toutefois moins importants, entre mille et deux mille euros en moyenne. La fraude à l'investissement fait moins de victimes, mais celles-ci perdent en moyenne trente mille euros.
En cas de fraude à l'investissement, méfiez-vous également d'une dernière « ligne d'assistance ». Les personnes qui ont déjà été escroquées sont alors recontactées par les auteurs de la fraude, qui se font passer pour des experts ou pour la FSMA (l'autorité de régulation bancaire, ndlr), en leur promettant de récupérer leur argent. « Il s'agit là aussi d'une astuce pour accéder une dernière fois à vos comptes. Les gens reprennent alors espoir, alors qu'en réalité, ils voient les derniers centimes de leur compte s’évaporer dans la nature... »
Que fait DNS Belgium ?
DNS Belgium prend évidemment la cybersécurité très au sérieux. Non seulement en garantissant un Internet sûr en Belgique, mais aussi en informant et en sensibilisant les gens à l'importance de la sécurité en ligne.
Les comportements irréfléchis sont fréquents chez les jeunes et les personnes âgées. C'est pourquoi nous nous adressons à ces deux groupes par le biais de campagnes de sensibilisation ciblées.
Nous soutenons donc activement les campagnes de Safeonweb. Il s'agit d'un projet du Centre pour la cybersécurité en Belgique qui vise à informer et à conseiller les gens sur les menaces numériques actuelles et la sécurité en ligne. Cet automne, la campagne portera sur la prévention de la fraude à l’investissement.
Les récentes campagnes du Centre pour la cybersécurité en Belgique (CCB) ont mis l'accent sur différentes formes de cybercriminalité :
1. Campagne 2024 : Authentification bifactorielle (2FA)
2. Campagne 2023 : Le phishing, tout est dans les détails !
3. Campagne 2022 : OK n'est pas toujours OK !
4. Campagne 2021 : Soyez plus malin qu'un phisher
5. Campagne 2020 : Les mots de passe ne sont plus d'actualité
La cybercriminalité peut avoir des conséquences importantes. C'est pourquoi, depuis quelques années, les entreprises peuvent souscrire une cyberassurance. S'agit-il d'un rempart utile contre les risques liés à la cybercriminalité ? Ou cela crée-t-il plutôt un faux sentiment de sécurité ?
- Vous le découvrirez bientôt dans notre prochain article.
Avec cet article, nous soutenons les objectifs de développement durable des Nations Unies.