Secu
Le phishing, une banalité à prendre en compte, encore et toujours…
Par Laurent Delattre, publié le 02 mars 2023
Constat banal, le phishing fait partie du quotidien des utilisateurs. Même si les entreprises ont multiplié les campagnes de sensibilisation de leurs collaborateurs, le risque demeure élevé. Un risque accru par le télétravail et l’utilisation massive d’outils collaboratifs, en particulier Microsoft 365 et Google Workspace. Poursuivre les campagnes de sensibilisation et mettre en place des outils adaptés s’impose.
Éditeur spécialisé dans la cybersécurité, Mimecast vient de publier sa nouvelle étude sur la sécurité des emails en entreprise. Menée par le cabinet d’études Vanson Bourne auprès 1 700 professionnels de l’IT et de la cybersécurité dans 14 pays elle souligne, sans grande surprise, que 90 % des violations de sécurité des entreprises sont liées au phishing. Autre constat, l’industrialisation du hacking se traduit par une augmentation notable (plus 61 %) du nombre de tentatives de phishing en 2022 par rapport à l’année précédente.
Si l’on juge ces chiffres à l’aune du dernier baromètre du Cesin, les entreprises semblent avoir pris la mesure du problème et mis en place tant des campagnes de sensibilisation de leurs collaborateurs que des outils ad hoc. Dans le détail, ce sont surtout les grandes entreprises qui ont mené ces actions. Comme le signale le dernier rapport de l’ANSSI, les attaques se déportent désormais sur les ETI et PME moins protégées. Et, lassitude oblige, tous les utilisateurs peuvent avoir un geste négligent. Délégué général du Cesin, Alain Bouillé soulignait par ailleurs la quasi-absence des mesures de l’efficacité des campagnes de sensibilisation.
À LIRE AUSSI :
Selon le rapport Mimecast, 8 personnes interrogées sur 10 pensent ainsi que leur entreprise court le risque d’avoir des fuites de données involontaires causées par des employés imprudents ou négligents. Un quart déclare même que ce risque est extrêmement élevé. La nature de plus en plus sophistiquée des attaques auxquelles ils sont confrontés est considérée par les répondants français comme leur plus grand défi (63%).
Des plateformes collaboratives à sécuriser davantage
Faiblesse du côté des utilisateurs, mais faiblesse aussi du côté logiciel. En particulier des outils collaboratifs proposés par les deux leaders américains. Selon l’enquête de Mimecast, la quasi-totalité des entreprises interrogées (94%) pense qu’elles ont besoin de protections plus solides que celles fournies en standard par Microsoft 365 et Google Workspace.
Et trois quarts des répondants estiment que ces outils collaboratifs créent de nouvelles failles de sécurité qu’il est urgent de combler. Si, avec cette question, les visées commerciales de Mimecast sont évidentes, l’éditeur proposant des logiciels de protection des emails, l’étude (re)met en exergue un aspect crucial : Les fonctions de sécurisation de Microsoft 365 et Google Workspace ne se suffisent pas à elles-mêmes. Une niche qui a attiré nombre d’éditeurs. On peut notamment citer des acteurs comme Vade, SlashNext ou la plateforme ouverte de Sublime Security, qui eux aussi s’attaquent à la sécurité des emails de ces plateformes. Dans un spectre plus large, Darktrace a développé une solution pour Microsoft 365. Entre autres acteurs œuvrant dans le domaine, l’éditeur Veeam a annoncé le 28 février dernier la version 7 de Veeam Backup for Microsoft 365, sa solution de sauvegarde et de restauration pour Exchange Online, SharePoint Online, OneDrive for Business et Teams. Ce ne sont que quelques exemples parmi beaucoup d’autres.
Facteur aggravant, les cybercriminels mettent en œuvre des approches de plus en plus sophistiquées et utilisent l’IA pour perfectionner les différents types d’attaques. On les a même vus utiliser ChatGPT pour écrire des textes de Phishing plus élaborés et dans de multiples langues. L’étude de Mimecast préconise de combattre l’IA par l’IA. Près de la moitié des répondants (49 %) utilisent déjà un certain type d’IA/ML pour améliorer leurs défenses et ceux dont ce n’est pas le cas (43 % du total) prévoient de le faire prochainement.
Au final, une réalité s’impose : continuer à sensibiliser et accompagner les utilisateurs dans l’utilisation des outils collaboratifs mais aussi mettre en place des outils robustes demeurent deux stratégies plus que jamais indispensables.
D’autres chiffres marquants de l’étude Mimecast
33 milliards : En 2023, le nombre de données dérobées aux organisations pourrait dépasser les 33 milliards d’enregistrements numériques.
$8.000 milliards : Le coût économique du cybercrime à l’échelon mondial en 2023 devrait dépasser les 8 mille milliards de dollars.
$4,35 millions : En moyenne dans le monde, le coût moyen d’une fuite de données est estimé à 4,35 millions de dollars.
212 jours : En moyenne, il s’écoule 212 jours avant qu’une brèche ne soit repérée et 75 jours pour y remédier totalement !
À LIRE AUSSI :
