Au début de l’année 2026, la CCI de Bayonne a organisé une soirée animée par deux membres de l’OFAC (Office National de la Cybercriminalité). Le but était de présenter les différentes menaces auxquelles sont exposées les PME/TPE.

La cybersécurité n’est pas un sujet à prendre à la légère et il existe quelques bonnes pratiques pour éviter de subir des attaques ou pour s’en relever sans subir de lourdes pertes. Au cours de la soirée, ce graphique issu du site cybermalveillance.gouv.fr présente les principales recherches d’assistance pour les entreprises et associations en 2024.

Voici des informations sur les principaux risques exposés par ce graphique :

Hameçonnage

L’hameçonnage est une technique qui consiste à tromper une personne pour l’inciter à communiquer des données personnelles, en ce faisant passer pour un expéditeur digne de confiance.

Le plus souvent, cela arrive par mail (faux mails des banques, d’organismes connus…) mais aussi par SMS (qui n’a pas reçu de message pour un colis qui ne passe pas dans la boîte aux lettres ?)

Exemple avec un faux mail de courrier recommandé :

AR24 existe bien et est un service de la Poste qui gère les recommandés électroniques.

Les points de vigilance :

Quand on passe la souris sur le lien Consulter le document (sans cliquer), une infobulle apparait et affiche la cible du lien. Dans notre exemple, https://hosta.ampara.cfd n’a rien à voir avec AR24.

Autre indice : l’expéditeur est info@ar-24.fr. Or le site du service est ar24.fr (sans le tiret). C’est un piège !

Que risque-t-on si on clique quand même sur des liens sans faire attention ?
Tomber sur une page web qui nous inspire confiance et sur laquelle on va rentrer des informations personnes (adresses, numéros de téléphone, identifiants, mots de passe…) Autant d’informations qui seront volées et réexploitées plus tard par des criminels.

Comment s’en prémunir ?

La vigilance est de mise ! Le but de l’hameçonnage est de tromper votre vigilance. Plus vous serez vigilants, moins vous aurez de risque de divulguer par mégarde des informations sensibles.

Des antivirus (ESET, comme chez Ixeho) ou des solutions anti-spam (mailinblack par exemple) peuvent également aider à identifier les messages frauduleux.

Piratage de compte

Un individu prend connaissance de vos identifiants et s’empare de votre compte de messagerie, de réseau social, de logiciel en ligne de compta… Le mot de passe était trop simple à deviner, écrit sur un post-it collé à l’écran ou vous l’avez saisi sur un site frauduleux suite à un hameçonnage réussi.

Que faire pour diminuer le risque ?

Utilisez des mots de passe longs (plus c’est long, plus c’est bon) et si possibles différents pour chaque service ou compte. Si vous ne devez en n’avoir qu’un seul de différent des autres, privilégiez celui de votre messagerie de secours, celle où les mails de renouvellement de mot de passe arrivent lorsque vous cliquez sur « Mot de passe oublié ». Cette boîte mail là est centrale, elle doit donc requérir toute votre attention.

Activez la double authentification dès que c’est possible ! La double authentification c’est recevoir un code unique (par mail, SMS ou sur une application dédiée) à saisir en plus de ses identifiants habituels. Ainsi, même si quelqu’un connait votre identifiant et votre mot de passe, il ne pourra pas se connecter car c’est vous qui recevez le code supplémentaire sur votre smartphone.

Rançongiciels

Ce sont des logiciels malveillants qui s’installent sur vos ordinateurs, chiffrent vos données et vous demandent une rançon pour les libérer.

Ici c’est simple :

• Avoir une solution antivirus fiable et à jour sur les machines à protéger (chez Ixeho, nous sommes équipés de solutions ESET Protect)
• Faire régulièrement des sauvegardes de vos données sensibles et de vos logiciels de production. Dans le cloud, sur un disque dur qui reste débranché le reste du temps, vers un autre lieu… Il y a des bonnes pratiques pour cela mais déjà, faites des sauvegardes régulières ! Chez Ixeho, nous utilisons Veeam Backup & Replication qui propose une version « Communautaire », déployable sans frais

Faux ordre de virement

Toute demande de modification de mode de paiement, même exceptionnelle, doit être prise avec une grande prudence ! Il n’est pas rare de recevoir un mail avec un faux RIB à l’intérieur ou une demande de paiement par virement au lieu du prélèvement habituel.

La meilleure méthode pour éviter de faire un virement ou un paiement vers un mauvais compte est de contacter téléphoniquement la personne qui est censée vous avoir envoyé le nouveau mode de paiement et de vérifier ensemble que les informations transmises sont correctes.

Exemple d’un mail envoyé à un client et le mail qu’il a effectivement reçu

À gauche, le mail envoyé, à droite, le mail reçu. Les mails se ressemblent mais l’IBAN et le BIC sont différents (ainsi que la date d’envoi du mail).

Quelques conseils pour terminer (et résumer un peu) :

• Utilisez des antivirus fiables et à jour (même sur vos smartphones pro, ça a du sens)
• Faites des sauvegardes régulières
• Utilisez le plus possible de mots de passes différents (et des looooooooongs)
• Activez la double authentification dès que possible
• Faites vous accompagner par des prestataires informatiques, ne restez pas seuls. Ils sauront vous guider et vous conseiller
• Mais surtout : RESTEZ VIGILANTS !!!!

Rédigée par Christophe LALANNE, informaticien du pôle Informatique du GROUPE IXEHO