D'après le dernier rapport annuel sur la cybercriminalité de l'Internet Crime Complaint Center (IC3) du FBI, les États-Unis ont connu une « augmentation sans précédent » des cyberattaques et autres cyberactivités malveillantes en 2021. Parmi les principaux incidents signalés figurent le piratage de la messagerie en entreprise (BEC, Business Email Compromise) et la compromission de comptes de messagerie (EAC, Email Account Compromise), qui ont entraîné des pertes ajustées de 2,4 milliards de dollars pour les entreprises et les particuliers l'année dernière.
Ce chiffre représente une augmentation considérable par rapport aux 1,8 milliard de dollars déclarés en 2020. Pour le public américain, il s'agit également d'un nouveau record des pertes financières dues aux attaques BEC/EAC. Ces attaques représentaient près de 35 % de toutes les pertes financières liées à la cybercriminalité signalées l'an dernier, soit une hausse de 28 % par rapport à l'année précédente.
Les victimes de la cybercriminalité ont déposé un nombre record de plaintes à l'IC3 en 2021 : 847 376. Les pertes potentielles dues à ce type de criminalité dépassent 6,9 milliards de dollars. Et si le nombre de plaintes déposées n'a augmenté que de 7 % par rapport à l'année précédente, les pertes totales imputables aux incidents cybercriminels ont bondi de 64 % en 2021, puisqu'elles s'élevaient à 4,2 milliards de dollars en 2020.
Vous trouverez ci-dessous un aperçu plus détaillé des autres conclusions du dernier rapport sur la cybercriminalité de l'IC3, ainsi qu'une analyse basée sur nos propres observations de ces tendances en matière de cybercriminalité :
La fraude par email reste responsable des plus grosses pertes financières
En 2021, l'IC3 a reçu 19 954 plaintes concernant des attaques BEC/EAC. Comme mentionné précédemment, les pertes ajustées dues à ce type d'incidents atteignaient près de 2,4 milliards de dollars. La perte moyenne par incident de fraude par email est passée de 96 373 à 120 074 dollars, soit une augmentation de près de 25 % par rapport à l'année précédente.
Bien que les attaques de ransomwares continuent de dominer les gros titres liés à la cybercriminalité, les attaques BEC et EAC représentaient la plus grande part (35 %) des pertes financières dues à la cybercriminalité en 2021. D'après l'IC3, les pertes imputables aux ransomwares s'élevaient à 49 207 908 dollars l'année dernière. Cependant, les pertes financières attribuées par ce dernier aux attaques BEC et EAC en 2021 sont 49 fois plus importantes.
Figure 1. Les attaques BEC/EAC ont continué de représenter la plus grande perte financière parmi tous les types de cybercriminalité (Source : « 2021 Internet Crime Report » (Rapport 2021 sur la cybercriminalité) de l'IC3 du FBI).
Figure 2. Les pertes financières dues aux attaques de fraude par email ont augmenté de 28 % en 2021 (Source : « 2021 Internet Crime Report » (Rapport 2021 sur la cybercriminalité) de l'IC3 du FBI).
Les données de l'IC3 permettent également de mettre en évidence le caractère très ciblé des attaques BEC/EAC et le fait que, même si le volume des attaques est faible par rapport à d'autres types de cyberattaques, les pertes financières encourues par les victimes des attaques BEC/EAC peuvent être considérables. Le rapport sur la cybercriminalité indique que le nombre de plaintes déposées l'année dernière concernant ce type d'attaque n'a augmenté que de 3 % par rapport à 2020. Cependant, les pertes financières imputables aux attaques BEC/EAC ont bondi de 28 % en 2021, entraînant une hausse de 25 % de la perte moyenne par incident par rapport à l'année précédente.
Les attaques BEC évoluent, tout comme les tactiques des cybercriminels
Le rapport 2021 sur la cybercriminalité souligne que les attaques BEC/EAC ont évolué, les méthodes des cybercriminels étant devenues plus sophistiquées. Il indique que ces attaques reposaient auparavant sur « le simple piratage ou l'usurpation de comptes de messagerie professionnels et personnels, suivi d'une demande de virement vers des comptes bancaires frauduleux ». Les cybercriminels utilisaient des emails de fournisseurs compromis, des demandes d'informations fiscales, des fraudes immobilières, des escroqueries aux cartes cadeaux, etc. Mais aujourd'hui, ils ont recours à des réunions virtuelles et usurpent les emails des dirigeants d'entreprise pour solliciter des virements bancaires frauduleux.
Parmi toutes les variantes d'attaques BEC utilisées aujourd'hui, Proofpoint a observé que la fraude aux factures fournisseurs représente souvent la perte financière la plus importante en raison des paiements interentreprises (B2B) concernés. Nos recherches montrent également que presque toutes les entreprises (98 %) reçoivent des menaces provenant du domaine de leurs fournisseurs.
Par le biais de l'usurpation de l'identité des fournisseurs ou de la compromission de comptes de fournisseurs, les cybercriminels utilisent les fournisseurs et les partenaires commerciaux de confiance des entreprises pour faire progresser leurs attaques. Malgré cette tendance, Proofpoint constate que la plupart des entreprises ne disposent pas de la visibilité qui leur permettrait d'identifier les fournisseurs qui représentent un risque.
Le phishing a progressé de 280 % au cours de la pandémie de COVID-19
Le nombre de plaintes déposées au sujet d'attaques de phishing et de techniques connexes, telles que le vishing, le SMiShing et le pharming, a grimpé de 280 % pendant la pandémie COVID-19, qui a commencé début 2020. Le rapport sur la cybercriminalité indique que les plaintes concernant divers types d'attaques de phishing représentaient 38 % de toutes les plaintes pour cybercriminalité adressées à l'IC3 l'année dernière.
Comme le montre la figure 3, le nombre d'incidents pour ce type de menace a augmenté au cours des cinq dernières années, et de manière significative au cours des deux dernières années. Le nombre d'incidents de phishing/vishing/SMiShing/pharming a progressé de 34 % entre 2020 et 2021. Parallèlement, les quatre autres principaux types de cybercriminalité (extorsion, usurpation d'identité, compromission de données personnelles et non-paiement/non-livraison) sont restés stables depuis 2017.
Figure 3. Les cinq principaux types de cybercriminalité en 2021, par rapport aux cinq années précédentes (Source : « 2021 Internet Crime Report » (Rapport 2021 sur la cybercriminalité) de l'IC3 du FBI).
La progression significative du phishing et des techniques connexes au cours des dernières années suggère que les cybercriminels continuent de tirer parti des vulnérabilités liées aux personnes. Les entreprises doivent donc comprendre les risques liés à leurs collaborateurs et mettre en place les contrôles nécessaires, car l'email reste le principal vecteur de menaces.
Le nombre d'attaques de ransomwares a explosé en 2021
Les données de l'IC3 montrent que le nombre d'incidents liés aux ransomwares a continué d'augmenter en 2021, avec 3 729 incidents signalés, soit une hausse de 51 % par rapport à l'année précédente. Par ailleurs, les pertes financières attribuées par l'IC3 aux attaques de ransomwares en 2021 (plus de 49 millions de dollars) sont 69 % supérieures au chiffre de 2020.
Il faut toutefois garder à l'esprit que les pertes financières pour 2021 sont artificiellement basses, car elles ne comprennent pas les pertes liées aux salaires, dossiers, équipements ou services de remédiation, selon l'IC3. Le chiffre de 49 millions de dollars ne représente que ce que les entreprises et les particuliers ont rapporté à l'IC3 et n'inclut pas les signalements directs faits aux bureaux locaux du FBI. Cela suggère que le nombre d'attaques de ransomwares et le montant des pertes associées pour 2021 sont en réalité probablement bien plus élevés.
Le rapport sur la cybercriminalité indique également que « les tactiques et techniques des ransomwares ont continué d'évoluer en 2021, ce qui démontre la sophistication technologique croissante des opérateurs de ransomwares et une menace accrue sur les entreprises du monde entier ». Selon l'IC3, les trois principaux vecteurs d'infection initiale des ransomwares l'année dernière étaient les emails de phishing, l'exploitation du protocole RDP (Remote Desktop Protocol) et l'exploitation des vulnérabilités logicielles.
Face à l'augmentation des incidents liés aux ransomwares et à la participation croissante de courtiers d'accès initial opportunistes à la diffusion des logiciels malveillants, les entreprises doivent envisager d'adopter une approche proactive et d'investir dans la prévention. La protection du canal de messagerie et le blocage des menaces dans les premières phases de la chaîne d'attaque constituent le moyen le plus efficace de se défendre contre les ransomwares.
Le rapport de l'IC3 du FBI souligne l'importance d'une approche de la sécurité centrée sur les personnes
Aujourd'hui, de nombreux cybercriminels ont recours à l'ingénierie sociale pour préparer, lancer et faire progresser leurs campagnes, ciblant des personnes spécifiques à chaque étape. Les conclusions du dernier rapport sur la cybercriminalité de l'IC3 du FBI soulignent la nécessité pour les entreprises d'adopter une approche multicouche centrée sur les personnes pour combattre les menaces déclenchées par des humains.
Proofpoint peut aider votre entreprise à réduire les risques de sécurité auxquels elle est exposée grâce à une plate-forme intégrée de protection contre les menaces capable de bloquer les menaces véhiculées par email et dans le cloud qui ciblent vos collaborateurs. Notre plate-forme fournit également une visibilité sur les risques pesant sur votre personnel et renforce la résilience de vos utilisateurs face aux menaces avancées actuelles.
Pour en savoir plus sur nos solutions de protection contre les attaques BEC et EAC, consultez cette page.