Les campagnes email de phishing, qui ont recours à l'ingénierie sociale pour abuser les utilisateurs, représentent l'une des tactiques de prédilection de nombreux cybercriminels. Simples à exécuter, elles peuvent également rapporter gros. Pour les entreprises victimes de ces attaques de phishing, les pertes financières peuvent être très lourdes, comme vous pouvez le voir ci-après.
Figure 1. Tableau illustrant les pertes financières induites par les attaques de phishing en 2015 et en 2021
Le rapport du Ponemon Institute sur le coût du phishing montre la répartition des coûts annuels encourus par les entreprises et l'explosion des coûts associés au piratage de la messagerie en entreprise (BEC, Business Email Compromise), ou fraude par email, et aux attaques de ransomwares.
Le coût des escroqueries de phishing a augmenté de façon exponentielle au cours des dernières années. D'après une nouvelle étude du Ponemon Institute, présentée dans le rapport commandité par Proofpoint, Étude 2021 sur le coût du phishing, le coût annuel moyen du phishing en 2021 s'élève à 14,8 millions de dollars pour une entreprise de 9 600 collaborateurs, soit un peu plus de 1 500 dollars par collaborateur. Ce chiffre représente plus du triple du montant calculé en 2015, qui s'élevait à 3,8 millions de dollars.
Facteurs contribuant à la hausse du coût du phishing
Figure 2. Tableau illustrant le coût attendu des attaques de malwares
Le coût des attaques de malwares non neutralisées constitue un risque considérable pour les dirigeants d'entreprise, avec des pertes maximales résultant de la perturbation des activités et de l'exfiltration de données supérieures à 100 millions de dollars par an.
L'incapacité à neutraliser les malwares est l'une des raisons de l'augmentation du coût du phishing. Elle représente 11 % du coût total encouru par les entreprises, soit environ 800 000 dollars par an contre 340 000 dollars en 2015, selon le rapport du Ponemon Institute. Les malwares difficiles à neutraliser, tels que définis dans l'étude, sont des malwares ciblant les terminaux et capables de contourner les mécanismes de défense classiques, notamment les pare-feux, les logiciels antimalware et les systèmes de prévention des intrusions. Les attaques de malwares actives cherchant à exfiltrer les données et à perturber les activités sont les plus difficiles à neutraliser.
Un autre facteur contribuant à la hausse du coût du phishing est la perte de productivité des collaborateurs hors équipes informatiques : Selon l'étude du Ponemon Institute, l'impact de telles escroqueries sur la productivité est passé de 1,8 million de dollars en 2015 à 3,2 millions de dollars cette année. Les collaborateurs perdent en moyenne 7 heures de travail à cause des emails de phishing, pour seulement 4 heures six ans plus tôt.
Dans l'étude, le Ponemon Institute suppose qu'une entreprise de taille moyenne compte 9 567 personnes disposant d'un accès utilisateur aux systèmes de messagerie d'entreprise. Par conséquent, si chaque personne est distraite par des escroqueries de phishing 7 heures par an, cela représente quelque 65 000 heures de travail perdues chaque année.
Le nettoyage nécessaire après ces escroqueries de phishing peut aussi exiger d'importantes ressources pour les entreprises, et donc leur coûter cher. L'étude du Ponemon Institute, réalisée sur la base des réponses de près de 600 professionnels de l'informatique et de la sécurité informatique travaillant dans des entreprises aux États-Unis, révèle que les tâches les plus chronophages liées à la neutralisation des attaques de phishing sont le nettoyage et la correction des systèmes infectés, ainsi que les investigations numériques.
Les compromissions d'identifiants de connexion coûtent des milliers d'heures par an aux équipes de sécurité informatique
Figure 3. Tableau illustrant le coût des compromissions d'identifiants de connexion résultant du phishing
Selon l'étude du Ponemon Institute, les compromissions d'identifiants de connexion représentent un autre casse-tête pour les professionnels de l'informatique et de la sécurité informatique. Ces 12 derniers mois, les entreprises ont été confrontées à une moyenne de 5,3 compromissions de ce type.
À la lumière d'autres études réalisées précédemment sur le coût des compromissions d'identifiants de connexion, le Ponemon Institute estime que les équipes techniques consacrent 2 050 heures à enquêter et à neutraliser une seule compromission. Si les entreprises sont victimes de plus de cinq compromissions par an, les équipes techniques peuvent s'attendre à passer près de 11 000 heures à neutraliser ces incidents au cours des 12 prochains mois.
L'étude du Ponemon Institute révèle également que le coût moyen de la neutralisation d'une compromission d'identifiants de connexion due au phishing est passé de 381 920 dollars en 2015 à 692 531 dollars en 2021. Ce montant a connu une nette augmentation depuis 2015, avec la migration vers le cloud et l'adoption du télétravail, qui pose bien des difficultés aux entreprises cherchant à renforcer la sécurité du cloud.
Le piratage de la messagerie en entreprise (BEC), ou fraude par email, est un facteur de coût important du phishing
Figure 4. Tableau illustrant le coût des attaques BEC
La dernière étude sur le coût du phishing s'intéresse aussi à l'impact du piratage de la messagerie en entreprise (BEC) sur les coûts du phishing pour les entreprises. Une attaque BEC est un exploit de sécurité qui cible les collaborateurs ayant accès aux fonds ou aux données d'une entreprise. C'est la première fois que l'étude inclut des données spécifiques aux attaques BEC.
Selon le Ponemon Institute, le coût annuel moyen du phishing lié aux attaques BEC s'élève à 5,96 millions de dollars. Dans un scénario de perte maximale probable, les dirigeants d'entreprise pourraient dépenser plus de 150 millions de dollars. Si le risque est négligé par la direction, le montant total moyen versé par les entreprises aux cybercriminels spécialisés dans les attaques BEC s'élève à 1,17 million de dollars.
Le piratage de la messagerie en entreprise (BEC) est devenu la forme la plus coûteuse de cyberattaque. Découvrez les six étapes à suivre pour gérer efficacement cette menace dans le Guide du piratage de la messagerie en entreprise de Proofpoint. Téléchargez dès à présent votre copie gratuite.
Les attaques de ransomwares se multiplient et coûtent des millions aux entreprises
Figure 5. Tableau illustrant le coût des ransomwares
Une autre nouveauté du rapport 2021 du Ponemon Institute est l'analyse de l'impact des ransomwares sur les résultats financiers d'une entreprise. Avec des pertes maximales probables de plusieurs dizaines de millions auxquelles viennent s'ajouter des millions de dollars dépensés pour la neutralisation des ransomwares, les entreprises ont toutes les raisons de s'inquiéter de cette menace qui n'est certes pas nouvelle, mais qui connaît une progression importante.
En outre, les entreprises dépensent en moyenne près de 800 000 dollars versés directement aux cybercriminels pour récupérer l'accès à leurs données et systèmes. Comme mentionné précédemment, tous les ransomwares ne sont pas distribués par email. Le blocage des ports RDP exposés à Internet et l'application de correctifs sur toutes les appliances présentant des vulnérabilités, par exemple les VPN, les appliances de transfert de fichiers et les serveurs de messagerie, sont autant de mesures primordiales à prendre pour protéger votre entreprise.
Face à la progression des coûts du phishing et à l'évolution des menaces, il est temps d'abandonner les solutions isolées pour adopter une approche globale de la protection contre ces menaces.
Une approche intégrée de la protection contre les menaces contribue à une réduction massive des coûts
Le rapport 2021 sur le coût du phishing prévoit une poursuite de l'augmentation des attaques de phishing en raison de la difficulté rencontrée par les entreprises à protéger le nombre croissant de collaborateurs en télétravail à cause de la pandémie de COVID-19.
Mais comme le dit l'adage, à toute chose, malheur est bon : l'étude du Ponemon Institute suggère que si les entreprises investissent dans des programmes de formation et de sensibilisation à la sécurité informatique pour former les collaborateurs à prévenir les attaques de phishing, elles pourront non seulement contrecarrer les efforts des cybercriminels, mais aussi réduire le coût global du phishing.
Les professionnels de l'informatique et de la sécurité informatique interrogés dans le cadre de l'étude sur le coût du phishing ont dû estimer le pourcentage des coûts du phishing qu'ils pensaient pouvoir réduire au moyen de programmes de formation et de sensibilisation spécialement axés sur les risques d'attaques de phishing contre le personnel d'entreprise. Sur la base des réponses données, le Ponemon Institute relève qu'il serait possible de les réduire de plus de la moitié (53 %).
En outre, les entreprises doivent envisager une stratégie de protection multiniveau. Leur passerelle de messagerie peut-elle véritablement empêcher les menaces d'atteindre leurs collaborateurs ? Existe-t-il un moyen de neutraliser les menaces après leur remise en boîte de réception ? Les entreprises disposent-elles d'une solution d'authentification DMARC et de surveillance des risques de fraude ?
Les entreprises qui adoptent une approche intégrée de la protection contre les menaces peuvent limiter le risque de phishing tout en rationalisant les coûts opérationnels. Par exemple, cette étude Forrester Total Economic Impact™ révèle qu'un important système de santé a pu réduire le risque de compromission de données de plus de 50 %, avec à la clé plus de deux millions de dollars d'économies par an. Il a également diminué les besoins en personnel grâce à l'automatisation, ce qui lui a permis d'économiser près de 350 000 dollars en trois ans.
Téléchargez le rapport gratuit pour en savoir plus
Parmi ses observations, le rapport du Ponemon Institute révèle que l'impact financier des attaques de phishing ne se limite pas aux rançons extorquées par les cybercriminels, mais se note également dans la perte de productivité des collaborateurs, la charge administrative des équipes techniques et la probabilité accrue de perturbation des activités et de compromission des données.
Pour découvrir toutes les conclusions de l'étude du Ponemon Institute, y compris une analyse détaillée des coûts annuels des attaques de ransomwares pour les entreprises et des tendances en matière de piratage de la messagerie en entreprise (BEC), téléchargez dès aujourd'hui le rapport 2021 sur le coût du phishing.