Le Service IC3 (Internet Crime Complaint Center) du FBI vient de publier son rapport 2024 Internet Crime Report. Il révèle une augmentation record des pertes financières dues à la cybercriminalité sur tout le territoire des États-Unis. L’année dernière, les pertes totales ont atteint la somme de 16,6 milliards de dollars, soit 33 % de plus que l’année précédente. L’email reste le vecteur d’attaque le plus largement exploité, les cybercriminels l’utilisant dans le cadre du phishing, du piratage de la messagerie en entreprise (BEC, Business Email Compromise) et de l’exfiltration de données à grande échelle.
Proofpoint a analysé la dernière édition de ce rapport du point de vue de la sécurité de la messagerie électronique. Notre compte rendu ci-dessous met en évidence la nécessité croissante d’adopter des défenses multicouches, centrées sur les personnes et capables de contrer les attaques nécessitant une interaction humaine qui sont véhiculées via la messagerie électronique, le cloud et les plates-formes de collaboration. Voici les principaux points à retenir :
Plaintes et pertes dues à la cybercriminalité signalées au cours des cinq dernières années selon le rapport IC3 du FBI
Les attaques par email dominent le paysage des menaces
L’email reste le principal vecteur exploité par les cybercriminels, tant en termes de fréquence d’attaques que d’impact financier.
- Le phishing et l’usurpation d’identité sont en tête de liste des signalements avec 193 407 incidents. Ces attaques se font de plus en plus subtiles et emploient désormais des codes QR, de fausses pages de connexion et des ressources de marque compromises pour tromper les utilisateurs.
- Le piratage de la messagerie en entreprise (BEC) est le deuxième cybercrime le plus coûteux pour les entreprises, générant des pertes à hauteur de 2,77 milliards pour 21 442 incidents.
- Les compromissions de données personnelles, causées en grand nombre par des compromissions de la messagerie, ont entraîné des pertes s’élevant à 1,45 milliard pour 64 882 incidents signalés.
Si l’on additionne toutes ces catégories, les pertes dépassent les 4 milliards de dollars. Ce chiffre témoigne de la relation étroite entre les menaces par email d’une part et les fuites de données, les fraudes et l’érosion de l’image de marque d’autre part. À l’heure actuelle, les cybercriminels ne visent plus les technologies, ils exploitent le comportement humain.
Attaques BEC : les menaces par email les plus coûteuses
Les attaques BEC sont hautement ciblées et recourent à des techniques d’ingénierie sociale. Les cybercriminels se font passer pour des dirigeants, des fournisseurs ou des représentants légaux pour inciter les collaborateurs de l’entreprise à virer des fonds ou à partager des documents sensibles.
En 2024, l’IC3 a relevé :
- 2,77 milliards de pertes causées par les attaques BEC, ce qui en fait la deuxième catégorie de cybercrime la plus coûteuse
- 21 442 incidents, un chiffre qui reste globalement constant d’année en année
Une partie significative de ces pertes sont liées à la fraude à l’immobilier et aux détournements de salaires, dans le cadre desquels les cybercriminels amènent leurs cibles à modifier des informations bancaires afin de détourner des transferts de fonds ou le paiement de salaires. Rien qu’en 2024, les victimes de plus de 60 ans ont perdu plus de 385 millions de dollars à cause de ces types de fraudes.
L’équipe chargée de la récupération des actifs du Service IC3 du FBI fait état d’un taux de réussite de 66 % concernant le gel de transferts BEC frauduleux. Dans un cas en particulier, elle a pu intercepter et restituer près d’un million de dollars à une victime d’une fraude immobilière.
Proofpoint vous aide à atténuer les risques d’attaques BEC. Nous utilisons l’IA comportementale pour évaluer l’intention du message, des indices linguistiques et la normalité des relations entre l’expéditeur et le destinataire afin de détecter les menaces qui échappent aux passerelles de messagerie traditionnelles.
Phishing : les menaces les plus courantes, et de plus en plus coûteuses
Le phishing reste le type d’attaque le plus répandu, avec près de 200 000 signalements en 2024. Mais le plus alarmant est la hausse spectaculaire des pertes, qui ont bondi de 18,7 millions de dollars en 2023 à 70 millions cette année. Soit une augmentation de 274 %.
Les cybercriminels ont fait évoluer leurs tactiques :
- Ils utilisent des codes QR pour contourner les outils de détection des liens dans les emails.
- Ils incorporent des charges virales dans les pièces jointes au format PDF.
- Ils utilisent des domaines compromis ou similaires pour usurper l’identité de marques.
Il est à souligner que le nombre total de plaintes déposées au sujet d’attaques de phishing est inférieur aux 298 878 signalées en 2023. Cette diminution s’explique peut-être par l’intérêt des cybercriminels pour les campagnes à plus faible volume, mais à taux de conversion plus élevé, particulièrement celles qui exploitent des stratégies BEC ou de prise de contrôle de comptes.
Pour se protéger contre le phishing, Proofpoint recommande une approche multicouche. Celle-ci implique des bannières d’avertissement adaptatives, une protection au moment du clic avec isolation ainsi que la mise en place prioritaire de programmes de sensibilisation à la cybersécurité qui aident les utilisateurs à résister aux menaces de phishing.
Seniors : le public le plus ciblé
Le rapport IC3 fait état d’un bond marqué des attaques ciblant les personnes de 60 ans et plus :
- 147 127 plaintes, en hausse de 46 % par rapport à l’année précédente
- 4,8 milliards de pertes, soit une augmentation de 43 % par rapport à 2023.
Les personnes plus âgées ont été les plus durement affectées par le phishing, la fraude au support technique et les attaques BEC. Elles sont également les plus touchées par les escroqueries aux investissement en cryptomonnaies et ont perdu plus de 2,8 milliards de dollars par le biais de tactiques qui commencent souvent par des leurres de phishing ou des emails frauduleux.
Comme ces utilisateurs pourraient manquer de compétences numériques ou de familiarité avec les vecteurs de menaces modernes, Proofpoint recommande aux entreprises d’étendre les programmes de sensibilisation au-delà des collaborateurs eux-mêmes, pour les adresser également aux membres de la famille, aux retraités et aux clients plus âgés.
Plaintes relevées par le rapport IC3 du FBI en 2024, par tranche d’âge
En résumé
L’édition 2024 du rapport IC3 réitère ce que les professionnels de la sécurité savaient déjà : l’email reste la principale source de cyberrisque. Si le phishing et les attaques BEC ne sont pas neufs, ils deviennent plus ciblés, plus coûteux et plus dommageables lorsqu’ils parviennent à leurs fins.
Pour garder une longueur d’avance, les entreprises doivent passer d’une défense réactive à une prévention proactive. Cette démarche commence par détecter les menaces centrées sur les personnes le plus tôt possible, automatiser la réponse aux menaces et prioriser la protection des personnes les plus susceptibles d’être ciblées.
Proofpoint peut vous aider. Notre plate-forme basée sur l’IA bloque les menaces avancées avant que les utilisateurs puissent interagir avec elles, ce qui réduit fortement les risques et accélère les délais de résolution.
Découvrez comment Proofpoint peut vous aider à protéger vos collaborateurs contre les principales menaces par email actuelles grâce à Proofpoint Core Email Protection.
