6.2.1. Du point de vue des internautes
La sensibilisation et la formation des internautes au respect des principes de sécurité constituent un rempart efficace contre le phishing et contre tous les types d'attaques abusant de la crédulité des internautes.
Quelques règles de bonnes pratiques :
- Avoir un esprit critique et analyser chaque message reçu. Cette analyse peut être en partie réalisée en se posant les questions suivantes :
- Est-il normal que je reçoive un message de cet émetteur ?
- Le contenu du message est-il conforme à ce que je peux attendre de cet émetteur ?
- Les éventuelles actions demandées sont-elles légitimes, sans danger et en cohérence avec les deux points précédents ?
S'il est difficile de répondre à l'une de ces questions ou si l'une des réponses est négative, vous ne devez pas suivre ce qui est demandé dans le message et remonter cette information à l’organisation de laquelle le message semble provenir,
- Ne jamais divulguer d'informations confidentielles en réponse à un e-mail, même si celui-ci semble provenir d'une organisation reconnue. Les organisations légitimes ne demandent jamais d’information personnelle ou sensible par retour de mail. En cas de doute, contacter directement l’organisation par un autre moyen de communication,
- Ne jamais se connecter sur un site Internet de banque en ligne depuis un ordinateur d’un Internetstuff, un ordinateur partagé ou en libre accès,
- Ne jamais cliquer sur les liens contenus dans des e-mails.Il est toujours préférable de se connecter sur un site en inscrivant soi-même l’adresse habituelle et ne pas se fier à l’adresse reçue dans un e-mail.
En cas d’absolue nécessité et en dernier ressort, faire un copier du lien reçu par e-mail et le coller dans son navigateur,
- Ne jamais répondre à des e-mails demandant de saisir des informations personnelles, sensibles ou confidentielles,
- Ne pas saisir directement vos informations personnelles dans des formulaires reçus par e-mail,
- L’e-mail n’est pas un moyen de communication sûr. Le contenu des e-mails circule en clair (il n’est pas crypté) et il est facile d’y usurper l’identité de la personne de son choix,
- Plusieurs semaines peuvent s’écouler entre la collecte des codes de carte bancaire et leur utilisation par un pirate. Il donc important de suivre soigneusement les mouvements d'argent sur ses comptes bancaires afin de vérifier qu'aucune opération anormale n'y figure et de contacter sa banque le cas échéant.
Bien que les internautes soient les victimes visibles du phishing, les organisations dont le nom est usurpé doivent également lutter contre cette menace pour protéger leurs intérêts (ainsi que ceux de leurs clients), et leur image de marque.
Les bonnes pratiques recommandées consistent en la définition et en la communication aux clients de la politique des e-mails sortants des organisations publiques, souvent cible de phishing.
Toutefois, communiquer en cas de détection d’un cas avéré et avertir ainsi les clients du risque implique que les clients participent à la remontée d’information.
Ainsi, une politique de communication vers l’extérieur par e-mail pourrait inclure les points suivants :
-
Suppression des liens hypertextes directement cliquables dans toutes les communications électroniques avec les clients,
-
Si des liens doivent être proposés, les inclure au format texte non cliquable,
-
Aucune utilisation requise d’un formulaire dans le contenu du message reçu par e-mail,
-
Aucune demande d’information à caractère personnel ou sensible ne saurait être initiée par mail,
-
Les messages électroniques seront, au minimum, personnalisés par l’utilisation du nom et du prénom du client.
Si l’e-mail reçu ne satisfait pas les précédentes règles, il ne saurait avoir être émis par l’organisation. Il s’agirait alors certainement d’un e-mail usurpant l’identité de l’organisation.
 |
Pour en savoir plus ...
|
 |
|
