Le phishing, c’est cette pratique frauduleuse qui consiste à voler les données – et notamment les données bancaires – de votre entreprise pour pouvoir en soutirer des fonds, voire même vider les caisses de celle-ci. Le plus souvent, retrouver les responsables s’avère impossible et les conséquences deviennent alors dramatiques. Parlons de responsabilité, mais aussi d’assurance et, bien évidemment, de protection.
Dans le cadre d’un phishing, on a tendance à vouloir chercher des responsables. Il est bien souvent difficile de le faire tant les arcanes de ce genre de fraudes sont difficiles à retracer. Toutefois, différentes choses peuvent permettre de souligner des responsabilités.
Votre banque est-elle responsable d’un phishing (ou hameçonnage) ?
Le plus souvent, un phishing réussi se traduit par une perte d’argent très réelle. De l’argent disparaît de vos comptes et vous avez cette douloureuse sensation que vous n’en reverrez pas le moindre cent. En 2018, une modification de la loi permet de désigner les banques comme responsables des conséquences d’un phishing. Elles sont alors tenues d’indemniser la victime – votre entreprise en l’occurrence – pour l’intégralité du préjudice subi. La loi précise même que le minimum du préjudice subi doit être de 50 euros.
Toutefois, si la banque peut démontrer que vous avez fait preuve d’une négligence flagrante en termes de cybersécurité, elle pourra se dégager de toute responsabilité si votre société est victime de phishing et ne devra donc pas vous indemniser. La loi permet donc à la banque d’invoquer une négligence grave qui, dans les faits, pourrait se traduire par une bêtise de taille. Inutile de dire que la banque mettra tout en œuvre pour déceler cette bêtise, qu’elle soit de votre chef ou de celui de l’un de vos employés.
Votre employé peut-il être tenu responsable d’un phishing (ou hameçonnage) ?
Il est difficile de dire qu’un employé est responsable d’un phishing réussi, et ce, d’autant plus qu’il a certainement agi de bonne foi. Là encore, il faut pouvoir déterminer que, malgré des conseils et des formations adaptées en cybersécurité, ledit employé aurait agi avec désinvolture et n’aurait pas rempli toutes ses obligations en termes de prudence.
En outre, si la responsabilité peut être attribuée à une personne en particulier, rien n’indique qu’il soit possible de lui faire supporter le coût de l’hameçonnage. Il est donc important de prendre des mesures concrètes pour éviter ce genre de souci.
Une assurance axée liée à la cybersécurité
La première chose à faire est très certainement de discuter avec votre courtier en assurances sur l’opportunité ou non de souscrire une assurance « cybersécurité ». En effet, le phishing est souvent une arme à double tranchant et, outre les frais engendrés au sein de votre entreprise, il peut avoir des conséquences sur les finances de vos clients. S’il est démontré, par exemple, que vous êtes à l’origine d’une perte de données dites sensibles, vous pourriez avoir, à votre tour, des indemnités à payer. Une couverture à la mesure de vos activités professionnelles permettrait alors de se prémunir d’obligations qui mettraient à mal la viabilité de votre entreprise.
5 bonnes pratiques pour se prémunir du phishing (ou hameçonnage)
Si vous n’avez pas le temps d’organiser une formation en cybersécurité au sein de votre entreprise (celle-ci est entièrement déductible fiscalement), il est important de rappeler de manière constante quelques bonnes pratiques qui permettront d’éviter qu’un cybercriminel, le plus souvent du bout du monde, ne vienne vous alléger de quelques milliers, voire quelques dizaines de milliers d’euros. Pensez, par exemple, aux astuces suivantes :
- Méfiez-vous d’emblée d’un expéditeur que vous ne connaissez pas quand vous recevez un e-mail.
- Même si vous connaissez l’expéditeur, rester toujours sur vos gardes. Évitez d’avoir une confiance absolue, et ce, d’autant plus si on vous demande de partager des données sensibles.
- Vérifiez les liens présents dans une communication et ne cliquez jamais dessus avant d’être convaincu(e) qu’il s’agit bel et bien d’un lien renvoyant vers un site sécurisé.
- Ne vous précipitez pas. Souvent, le cybercriminel tente d’avoir vos données bancaires en se faisant passer par un responsable de votre banque exigeant de vous que vous modifiiez vos données bancaires. Ne le faites pas.
- Contactez l’auteur présumé d’un message que vous jugez comme suspect et vérifiez avec lui s’il en est bel et bien l’auteur. Si ce n’est pas le cas, vous serez convaincu(e)d’être confronté(e) à du phishing.
Les cybercriminels redoublent d’ingéniosité pour soutirer de l’argent aux entreprises. Il est donc plus que nécessaire que, en tant que chef d’entreprise, vous redoubliez de prudence et que vous insuffliez celle-ci à vos employés. Vous avez des questions sur la déductibilité fiscale d’une assurance en cybersécurité ? Posez-les à Magecofi-Atecofi via son formulaire de contact. Nous nous ferons un plaisir de vous guider vers une solution adaptée à vos besoins.