Proofpoint publie son septième rapport annuel « State of the Phish », traditionnellement l’une des études les plus complètes et les plus intéressantes sur le Phishing, ses pratiques et ses impacts.

Bien sûr, cette nouvelle publication a une aura un peu particulière puisqu’elle repose sur les statistiques d’une année pandémique durant laquelle les cyberattaques se sont multipliées notamment celles à base de Phishing alors que les collaborateurs étaient en télétravail dans des conditions particulièrement anxiogènes avec une frontière pro/perso encore plus floue qu’à l’accoutumée. Autrement dit, toutes les conditions étaient réunies pour que le Phishing fasse encore plus de dégât que les années précédentes.

Dans les faits, même si 74% des entreprises américaines ont expérimenté au moins une attaque phishing réussie en 2020 (soit 14% d’augmentation par rapport à l’an dernier) et si à l’échelon mondial 57% des entreprises ont vu au moins une attaque phishing réussir, la France et l’Allemagne s’en sont plutôt mieux sorties avec moins d’une entreprise sur deux victimes d’une attaque Phishing réussie.

Des attaques qui mènent au vol de données et aux ransomwares

Parmi les attaques réussies à travers le monde, 60% on conduit à une fuite de données, 52% à la compromission d’un compte, 47% à une infection par ransomware, 19% à une fraude financière (transfert frauduleux) et 29% à l’infiltration d’un malware dans le système d’information.

Concernant les attaques par ransomware, le nombre d’entreprises qui paye effectivement une rançon est toujours en augmentation mais avec une très forte disparité selon les pays. Si en moyenne 34% des entreprises prises en otage ont payé, elles sont 68% rien qu’aux USA et 86% en Allemagne.

En revanche, la France serait plutôt une bonne élève si l’on en croit l’étude (si les personnes interrogées n’ont pas masqué la vérité) avec seulement 18% des entreprises atteintes d’un ransomware ayant effectivement choisi de payer. Ce faible chiffre explique aussi pourquoi 78% des entreprises françaises qui ont payé ont effectivement récupéré leurs données dès le premier paiement, un record mondial puisque dans la pratique seules 60% des entreprises récupèrent leurs informations après un seul paiement.

Sensibiliser et… punir !

Pour revenir au Phishing, les entreprises commencent enfin à se rendre compte que face à cette menace, la sensibilisation permanente des employés est la meilleure défense. Mais il y a encore bien des progrès à faire. Notamment en France : Seuls 39 % des professionnels de la sécurité informatique français ont déclaré former les utilisateurs sur les attaques spécifiques auxquelles leur entreprise était confrontée (contre 53 % en moyenne dans le monde).

D’ailleurs trop d’employés ignorent encore que les fichiers attachés aux emails peuvent contenir des menaces ou mener à des sites de vols d’identifiant, qu’un email peut apparaître avec un envoyeur usurpé, ou encore que tout email non sollicité doit être considéré comme suspicieux.

Dans un même ordre d’idée, la pandémie a aussi eu ses ratés en la matière puisque si 77% des entreprises françaises ont adopté le télétravail intensif, seules 38% des entreprises ont formé leurs collaborateurs aux bonnes pratiques en la matière.

On notera au passage que les entreprises ont pris conscience qu’une vraie sensibilisation ne se limite pas à une formation « one shot », mais est un processus qui doit être récurrent. 40% des entreprises pratiquent une sensibilisation mensuelle.

Les sessions de sensibilisation représentent moins d’une heure par an dans 24% des entreprises, entre 1 et 2 heures par an dans 42% des entreprises, entre 2 et 3 heures par an dans 17% des entreprises, plus de 3 heures dans 13% des entreprises. 4% des entreprises offrent moins de 30 minutes de sensibilisation par an à cette problématique du Phishing.

 

Au-delà de la sensibilisation, les entreprises passent aussi à l’action : 43% des organisations françaises utilisent un modèle de réprimande (55% en moyenne dans le monde) auprès des utilisateurs qui se sont fait piéger plus d’une fois. Il s’agit pour l’essentiel d’avertissements et d’impact sur les évaluations annuelles. Mais la France affiche aussi un taux de licenciement pour « faute grave » suite à des attaques par phishing parmi les plus élevés : 26% contre 20% en moyenne dans le monde.

Et la technique du bâton semble fonctionner : 72% des organisations françaises pratiquant la réprimande ont constaté une amélioration de la sensibilisation.

D’une manière générale, 80% des organisations interrogées ont indiqué que la formation et la sensibilisation à la sécurité avait réduit leur vulnérabilité aux attaques de phishing.

Pour l’anecdote, la France est le pays le plus épargné par le Vishing (Phishing vocal, par téléphone) avec seulement 29% des entreprises y ayant été confrontées. Pourtant les employés français sont parmi les plus sensibilisés au monde : 54% des collaborateurs interrogés ayant été capables de définir le terme.

Les thèmes les plus fréquemment rencontrés

On retiendra également de l’étude les 10 thèmes les plus utilisés en 2020 dans le Phishing contre les entreprises :

– Nouvelle requête Teams
– Alerte Coronavirus et avertissements de santé
– Note d’expiration de mots de passe Office 365
– Désactivation de compte OneDrive
– Notifications de partages OneDrive
– Bonus Starbucks
– Information de santé Coronavirus de l’organisation mondiale pour la santé OMS
– Alerte de nouveau message vocal
– Alerte d’effacement massif de fichiers OneDrive
– Avis d’expédition UPS

Bien sûr, des thèmes « grand public » ont aussi été utilisés puisque les utilisateurs étaient majoritairement en télétravail avec essentiellement de faux avis de violation des mesures de confinement, de faux avis de remboursement de vacances ou spectacles, de fausses notes de violation des codes vestimentaires, de fausses offres ou fausses alertes de mots de passe à changer pour les services Spotify et Netflix.

Bref, avec des emails et pièges de plus en plus soignés, le Phishing reste l’une des menaces les plus universelles (elles fonctionnent sur tous les systèmes et tous les terminaux) et les plus complexes à contrer pour les entreprises. Même si la nécessité de former les collaborateurs est de plus en plus ancrée dans le paysage professionnel, les entreprises françaises ont encore beaucoup de progrès à faire pour proposer un meilleur suivi des formations, une sensibilisation permanente dans le temps et plus inspirée par les attaques réellement rencontrées par l’entreprise.


Source : State of the Phish 2021