Nous avons le plaisir de vous annoncer la parution de notre nouveau rapport State of the Phish. Pour la neuvième année consécutive, le rapport State of the Phish offre l'aperçu le plus détaillé et le plus complet des risques liés aux utilisateurs et de leur résilience en matière de cybersécurité.
Le rapport s'appuie sur deux sources de données principales pour proposer une vue d'ensemble des cyberrisques découlant des comportements humains. Pour mieux comprendre la sensibilisation et les croyances en matière de sécurité informatique, nous avons interrogé 7 500 adultes actifs et 1 050 professionnels de la sécurité dans 15 pays. Par ailleurs, pour capturer le comportement réel des utilisateurs, nous avons analysé 135 millions de simulations d'attaques de phishing envoyées par nos clients, ainsi que 18 millions d'emails signalés par leurs utilisateurs finaux.
Voici quelques-unes de nos principales conclusions à l'échelle mondiale :
- Même des concepts de base ne sont toujours pas compris. En effet, plus d'un tiers des utilisateurs ne savent pas définir les termes « malware », « phishing » ou « ransomware ».
- 44 % des sondés pensent qu'un email est sûr lorsqu'il contient une marque familière. Pourtant, plus de 30 millions de messages malveillants envoyés en 2022 impliquaient la marque ou des produits Microsoft, l'un des plus grands noms du secteur des technologies.
- Les cybercriminels ont déployé entre 300 000 et 400 000 tentatives de phishing par téléphone par jour, avec un pic à 600 000 par jour en août 2022.
- Les pertes financières directes liées aux attaques de phishing fructueuses ont bondi de 76 %.
- Plus d'une menace sur 10 a été identifiée et signalée en premier lieu par un utilisateur final.
Pour la première fois, nous publions des synthèses régionales de notre étude en plus du rapport mondial. L'édition Europe et Moyen-Orient du rapport a pour but d'aider les entreprises à comprendre comment les nuances locales peuvent affecter les lacunes de leurs utilisateurs finaux en matière de sensibilisation à la sécurité informatique.
Le rapport « State of the Phish : Europe et Moyen-Orient » inclut des données de France, d'Allemagne, d'Italie, des Pays-Bas, d'Espagne, de Suède, du Royaume-Uni et des Émirats arabes unis. Il s'appuie sur des enquêtes menées auprès de 4 000 adultes actifs et 650 professionnels de la sécurité informatique.
Voici un aperçu des quatre principales conclusions de notre synthèse pour cette région.
1. Près des trois quarts (71 %) des entreprises de la région EMEA ont perdu des données en raison de menaces internes en 2022
Nous avons élargi notre dernière étude State of the Phish pour inclure les menaces internes et avons découvert qu'elles représentaient un problème majeur pour les entreprises de la région. Cette catégorie de menaces inclut le vol de données par des utilisateurs malveillants, la compromission de comptes et les fuites de données dues à des utilisateurs négligents.
Dans toute la région EMEA, 71 % des entreprises en moyenne ont déclaré qu'elles avaient perdu des données au cours de l'année écoulée. Ce pourcentage est encore plus élevé au Royaume-Uni et aux Pays-Bas, où il est d'environ 85 %. Nous avons également découvert que les entreprises allemandes ont été les plus nombreuses à être victimes d'attaques fréquentes d'origine interne (18 %), tandis que les entreprises des Émirats arabes unis ont été les moins nombreuses à en faire les frais (4 %).
2. Les entreprises italiennes ont été les moins nombreuses à subir des attaques de phishing fructueuses, tandis que les entreprises suédoises en ont souffert le plus
Il s'agit également de la première année où nous avons inclus l'Italie dans notre étude. Les résultats sont intéressants. Tout d'abord, nous avons appris que les entreprises italiennes, parmi tous les pays couverts par notre étude à travers le monde, ont été les moins nombreuses à être victimes d'attaques de phishing fructueuses. Bien qu'il s'agisse d'un constat positif, d'autres facteurs peuvent influencer ce résultat, comme des règles de signalement moins strictes.
Nous avons également découvert que les entreprises suédoises ont été les plus nombreuses à subir des attaques de phishing fructueuses (94 %). Il est intéressant de noter que la Suède accorde peu d'importance aux formations de sensibilisation à la sécurité informatique. Par exemple, seulement 18 % des entreprises du pays forment les utilisateurs qu'elles savent ciblés.
3. Les entreprises néerlandaises sont celles qui ont essuyé le plus de cyberattaques d'origine interne et externe
Notre étude montre que les entreprises néerlandaises sont des cibles de choix. Par exemple, 86 % des entreprises néerlandaises ont été ciblées par des utilisateurs internes l'année dernière, contre une moyenne mondiale de 66 %. Par ailleurs, 84 % des entreprises néerlandaises ont déclaré qu'elles avaient été confrontées à des attaques d'origine externe, contre 68 % des entreprises à l'échelle mondiale.
La bonne nouvelle, c'est que les entreprises néerlandaises accordent davantage d'importance aux formations à la sécurité informatique que les 14 autres pays couverts par notre étude. Ces formations sont probablement un facteur déterminant dans le fait que les collaborateurs néerlandais sont les moins susceptibles de divulguer des informations personnelles ou des mots de passe.
4. Les ransomwares sont partout, mais tout le monde n'est pas aussi enclin à payer
Parmi les pays de la région, seules les entreprises italiennes ont enregistré un taux d'incidence des ransomwares inférieur à 50 %. La Suède présente le taux d'infection le plus élevé (82 %). Les autres pays se situent entre 62 et 76 %. Les entreprises suédoises sont également très enclines à payer une rançon. 80 % ont déclaré qu'elles avaient payé suite à une infection. L'Allemagne fait ici figure d'exception : malgré un taux d'infection relativement faible de 63 %, les entreprises allemandes ont été les plus enclines à payer une rançon.
Téléchargez le rapport « State of the Phish : Europe et Moyen-Orient »
Pour en savoir plus sur la sensibilisation à la sécurité informatique et les tendances du paysage des menaces, téléchargez le rapport « State of the Phish : Europe et Moyen-Orient ». Vous obtiendrez des informations et des conseils pour élaborer un programme de sécurité adapté aux menaces en activité et aux risques liés aux utilisateurs. Le rapport gratuit est disponible ici.