Principe 1:
Nous faisons confiance à ceux qui ont l’air légitimes.

Nous avons tendance à faire confiance aux personnes que nous percevons comme desfigures d’autorité. Les cybercriminels se font donc souvent passer pour des cadressupérieurs ou du personnel informatique pour gagner en crédibilité et influencer nosdécisions.

Exemple : un courriel d’hameçonnage peut sembler provenir du PDG, demandant unvirement urgent ou l’accès à des données sensibles. L’autorité perçue du messagedésactive notre scepticisme, nous poussant à agir sans vérifier.

Principe 3:
Nous aimons rendre la pareille

Les attaquants fabriquent souvent une « preuve sociale » : l’impression que noscollègues ont déjà effectué l’action demandée, ce qui nous pousse à faire de même.Nous avons tendance à nous conformer au comportement du groupe, surtout ensituation d’incertitude.

Exemple : un courriel d’hameçonnage ciblé (spear-phishing) affirme (à tort) que voscollègues ont déjà téléchargé une application ou partagé un identifiant — en lesnommant. On pense alors : « Si eux l’ont fait, ça doit être correct ! » Mais ce n’est pas lecas.

Principe 5:
La vigilance est épuisante

Toutes les tâches liées à la sécurité numérique peuvent être fatigantes : entrer descodes à usage unique (One-Time Password, OTP), prouver que nous ne sommes pasun robot, retrouver un courriel avec un lien… Parfois, on baisse la garde.

Exemple : dans un cas notable, un pirate a utilisé une technique connue sous le nom de« fatigue de l’authentification multifactorielle » (fatigue MFA), envoyant des notificationspush répétées à un employé d’Uber jusqu’à ce que l’une d’entre elles soit approuvéepar erreur. Le pirate s’est ensuite fait passer pour un membre du personnel informatiquevia WhatsApp, convainquant l’employé de lui accorder encore plus d’accès.

1. Repérez les techniques

Il est essentiel de connaître les différentes tactiques utilisées par les ingénieurs sociaux.Gardez une liste mentale ou écrite. Et si un message vous provoque une réactionémotionnelle — anxiété, peur, gratitude ou peur de passer à côté (FOMO) — prenezune pause et réfléchissez.

Posez-vous ces questions:

• Est-ce que cela semble légitime ?

• Y a-t-il une bonne raison pour que ce soit urgent ?

• Pourquoi moi et pas le personnel informatique ?

• Pourquoi mes collègues ne sont-ils pas en copie ?

• Si le message semble étrange, pouvez-vous confirmer directement avec l’expéditeur supposé ?

2. Cliquez sur le bouton PAB (Phish Alert Button)

Si vous recevez un courriel vous demandant une action inhabituelle et urgente, soyezprudent. Mais ne vous inquiétez pas — vous pouvez aider en le signalant via le boutonPAB.

Le bouton PAB se trouve dans la barre d’outils Outlook et vous permet de signalerfacilement les courriels suspects. Un simple clic informe l’équipe de cybersécurité, quiexamine le message et agit en conséquence.Vous n’avez pas à chercher qui contacter. Cliquez sur le PAB et détendez-vous. Vousserez informé si le courriel ne représente pas une menace.

Plus d’information est disponible sur notre site SharePoint interne de cybersécurité.

3. Utilisez SpamTitan

Notre outil de sécurité courriel, SpamTitan, protège Sappi contre le spam, le phishing,les logiciels malveillants et les rançongiciels en filtrant les courriels entrants et sortants.

Il utilise la détection en temps réel, l’analyse des pièces jointes et le filtrage du contenu. Avec une précision de détection de spam de plus de 99,9 %, il offre aussi des fonctionscomme la mise en quarantaine, des politiques personnalisables et des rapportsdétaillés.

Optimisez SpamTitan en vérifiant régulièrement les rapports de quarantaine pourexaminer, libérer ou bloquer les courriels suspects avant qu’ils n’atteignent votre boîtede réception.