Octobre est le Mois de la sensibilisation à la cybersécurité en France et en Europe. En 2022, le Cybermoi/s met l’accent sur deux cybermenaces majeures : l’hameçonnage et les rançongiciels. Afin de se prémunir de ce type d’attaques, le Cybermoi/s présente quelques bonnes pratiques faciles à mettre en oeuvre. Sécuriser ses mots de passe et mettre en place un système d’authentification font partie des réflexes numériques à adopter. NEOWAVE, expert de l’authentification forte, propose des solutions simples et efficaces pour se protéger du phishing et partage des tutos pour sécuriser ses comptes en ligne.
Le Cybermoi/s, l’occasion de rappeler les règles et bonnes pratiques de sécurité informatique
Le Cybermoi/s a pour but de rassembler et sensibiliser les différents publics sur les sujets liés à la cybersécurité. Cet événement est co-piloté par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et Cybermalveillance.gouv.fr. Il regroupe une vingtaine d’entités, essentiellement des ministères, associations et organisations professionnelles, mais aussi des acteurs privés, qui travaillent tout au long de l’année afin d’offrir des ressources clés en main pour se prémunir des dangers des espaces numériques. Il est organisé tous les ans durant tout le mois d’octobre et est l’occasion de rappeler les règles et les bonnes pratiques au travers, notamment, de campagnes de sensibilisation ou de webinaires. En 2022, le Cybermoi/s met l’accent sur deux cybermenaces majeures : l’hameçonnage (ou phishing) et les rançongiciels (ou ransomwares).
Plusieurs ressources pour se prémunir contre l’hameçonnage et les rançongiciels ou bien réagir en cas de cyberattaque sont disponibles sur :
- le site de cybermalveillance.gouv.fr : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/evenements/mobilisation-cybermalveillance-cybermois-2022
- le site de l’ANSSI : https://www.ssi.gouv.fr/agence/cybersecurite/le-cybermois/cybermois-2022-tous-ensemble-face-aux-rancongiciels-et-au-hameconnage/
Qu’est-ce que le phishing et le rançongiciel ?
Les cyberattaques se multiplient et ne cessent d’évoluer. En 2021, l’ANSSI a relevé 1 082 intrusions avérées dans des systèmes d’information – une augmentation de 37% en un an. Elle s’explique par l’évolution et l’amélioration constante des capacités des cybercriminels. Les motivations des pirates sont variées : financière, politique, espionnage stratégique ou industriel.
Parmi les attaques en ligne les plus répandues figure l’hameçonnage ou phishing en anglais. Il consiste à subtiliser des informations personnelles via votre courriel ou par SMS, par le biais de messages ou de sites web malveillants. Qu’il soit par email, site web, SMS ou encore par le biais des réseaux sociaux, le phishing consiste à tromper des victimes avec de faux messages ou de fausses campagnes. Il est à l’origine de diverses actions malveillantes tels que le piratage de compte, le vol de coordonnées bancaires, l’usurpation d’identité, le rançongiciel…
Le rançongiciel, ou ransomware, est un logiciel informatique malveillant qui prend en otage des données personnelles en les chiffrant. Puis, le rançonneur demande au propriétaire de verser une somme d’argent en échange de la clé qui permettra de les déchiffrer.
La mise en œuvre des règles de base en matière de sécurité des mots de passe est recommandée (longueur, complexité, renouvellement des mots de passe et mesures supplémentaires telles que la restriction des accès, la mise à disposition d’un coffre-fort de mots de passe…). Néanmoins, ces mesures ne garantissent pas une sécurité optimale contre les attaques d’ingénierie sociale comme l’hameçonnage. Il est donc indispensable d’ajouter un cran de sécurité. Activer une méthode d’authentification (authentification primaire, forte, MFA…) renforce efficacement la protection des données numériques face aux attaques de type phishing.
Pas d’impasse sur la mise en place d’une méthode d’authentification
L’identité numérique est la cible favorite des cybercriminels. Sa vérification constitue une étape indispensable dans l’élaboration d’un système sécurisé et robuste. L’utilisateur doit prouver son identité pour accéder à ses ressources, et ce grâce à des caractéristiques qui lui sont spécifiques, appelées également « facteurs d’authentification ». Les trois facteurs d’authentification les plus utilisés reposent sur les critères suivants : Ce que je sais (un mot de passe ou code secret), Ce que je possède (un téléphone mobile, une clé de sécurité USB, une carte à puce, un dispositif générant des codes à usage unique ou OTP…)., Ce que je suis / ce que je fais (voix ou reconnaissance faciale, empreintes digitales, comportement…).
Ce processus de vérification par la combinaison d’au moins deux de ces trois critères est connu sous le nom d’« authentification multifacteur » ou MFA (Multifactor Authentication). Il renforce la sécurité d’accès aux services/applications et aux comptes en ligne. L’utilisateur doit confirmer son identité par le biais d’un code reçu par téléphone par exemple et d’un autre facteur. Même si le code est compromis, l’attaquant doit encore récupérer l’autre facteur afin d’usurper l’identité de l’utilisateur.
Toutefois, pour résister efficacement aux attaques de type phishing, il est recommandé de privilégier l’utilisation de moyens d’authentification forts. L’authentification forte repose sur des mécanismes de cryptographie tels que les équipements physiques (facteurs de possession) comme les cartes à puce, cartes SIM ou clés de sécurité matérielles qui fonctionnent sur le principe de clés cryptographiques. De plus, s’ils sont équipés d’un composant de sécurité dont la fiabilité a été évaluée (un visa de sécurité, une qualification ou un processus de certification Critères Communs de l’ANSSI…), ils offrent une protection maximale.
NEOWAVE, spécialisée dans l’authentification forte et les transactions sécurisées, a pour mission de protéger le patrimoine numérique des entreprises et des usagers grâce à des technologies d’authentification forte à base de composants sécurisés et de certificats numériques. Ses produits sont 100% Made in France, de la phase de conception jusqu’aux phases de production et de déploiement. Ils sont labellisés « Cybersecurity Made in Europe » et sont conformes aux exigences de sécurité européenne (RGS, eIDAS, RGPD, DSP2). Ses clés de sécurité FIDO fonctionnent sur le principe de clés cryptographiques. Parmi elles, les clés Winkeo-A FIDO2 et Winkeo-C FIDO2 ont obtenu le Visa de sécurité de l’ANSSI.
Alors si vous ne l’avez pas déjà fait et si vous souhaitez passer à un cran supplémentaire de protection, NEOWAVE propose des solutions sécurisées parfaitement adaptées à des besoins d’authentification forte. Son expertise technologique permet d’accompagner les professionnels, collectivités et particuliers sur des projets de taille et de complexité diverses et de leur proposer une solution optimale au juste prix.
Des Tutos pour mettre en place une authentification sur vos comptes en ligne (Gmail, Facebook, OVH, Ping Identity, Bank of America, Microsoft) sont proposés sur la boutique de NEOWAVE :
• Tutoriel FIDO U2F Google
• Tutoriel FIDO2 Microsoft
• Tutoriel FIDO U2F Bank of America
• Tutoriel FIDO U2F Facebook
• Tutoriel FIDO U2F Ping Identity
• Tutoriel FIDO U2F OVH
Pour plus d’informations :
NEOWAVE : https://www.neowave.fr
Boutique FIDO : https://authentification-web.fr