Proofpoint souligne l’importance de former les utilisateurs à reconnaitre et signaler les attaques ciblées par e-mail
Paris, 23 janvier 2020 -- Proofpoint, leader de la cybersécurité et de la mise en conformité, a publié aujourd'hui son sixième rapport annuel qui analyse les tendances du phishing, et fournit un examen approfondi de la sensibilisation, de la vulnérabilité et de la résistance des utilisateurs au phishing.
Le State of the Phish de Proofpoint examine les données mondiales de près de 50 millions d'attaques de phishing simulées envoyées par les clients de Proofpoint sur une période d'un an, ainsi que les réponses à des enquêtes menées par des tiers auprès de plus de 600 professionnels de la sécurité de l'information aux États-Unis, en Australie, en France, en Allemagne, au Japon, en Espagne et au Royaume-Uni. Le rapport analyse également les connaissances fondamentales en matière de cybersécurité de plus de 3 500 employés actifs qui ont été interrogés dans ces sept mêmes pays.
Parmi les principales conclusions, près de 90% des entreprises internationales interrogées ont été la cible d'attaques de compromission d’email professionnel (BEC) et de phishing, ce qui reflète l’intérêt persistant que les cybercriminels à attaquer les utilisateurs finaux. Également selon 78% des entreprises interrogées, les activités de formation à la cybersécurité ont entraîné une réduction mesurable de la vulnérabilité au phishing.
"Une formation efficace à la cybersécurité doit se concentrer sur les questions et les activités qui comptent le plus pour la mission de l’entreprise", a déclaré Joe Ferrara, vice-président senior et directeur général de la formation à la sensibilisation à la sécurité pour Proofpoint. "Nous recommandons d'adopter une approche de la cybersécurité centrée sur les personnes en combinant des formations à la sensibilisation à l'échelle de l'entreprise avec des exercices axés sur les menaces. L'objectif est de donner aux utilisateurs les moyens de reconnaître et de signaler les attaques".
Le rapport de cette année examine également les retours des utilisateurs finaux, une mesure essentielle pour évaluer le comportement des employés face aux menaces. Le volume de messages signalés a considérablement augmenté d'une année sur l'autre, les utilisateurs finaux ont signalé plus de neuf millions d'e-mails suspects en 2019, soit une augmentation de 67 % par rapport à 2018. Cette augmentation est particulièrement positive pour les équipes de sécurité informatique, car les chercheurs de Proofpoint ont montré une recrudescence des attaques ciblées et personnalisées. Les utilisateurs doivent redoubler de vigilance afin d'identifier les attaques de phishing sophistiquées, et les signaler rapidement.
Parmi les autres conclusions globales du rapport sur les tendances du phishing, Proofpoint observe les points suivants :
- Plus de la moitié (55 %) des entreprises interrogées ont été confrontées à au moins une attaque de phishing réussie en 2019, et les professionnels de la sécurité informatique ont signalé une fréquence élevée de tentatives d'ingénierie sociale par diverses méthodes : 88 % des entreprise dans le monde ont signalé des attaques par phishing, 86 % des attaques BEC, 86% des attaques sur les réseaux sociaux, 84 % via des SMS de phishing (smishing), 83 % des phishing vocaux (vishing) et 81 % des téléchargements USB malveillants.
- 65 % des professionnels de l'informatique interrogés ont déclaré que leur entreprise avait été victime d'une infection par un rançongiciel en 2019 ; 33 % ont choisi de payer la rançon. Parmi ceux qui ont négocié avec les attaquants, 9 % ont été frappés par de nouvelles demandes de rançon, et 22 % n'ont jamais eu accès à leurs données, même après avoir payé la rançon.
- Les organisations réprimandent les comportements dangereux. Au niveau mondial, 63 % des organisations prennent des mesures correctives à l'égard des utilisateurs qui commettent des erreurs répétées liées aux attaques de phishing. La plupart des répondants ont déclaré que la sensibilisation des employés s'est améliorée suite à la mise en œuvre d’un modèle de réprimande.
- De nombreux employés admettent ne pas suivre les meilleures pratiques en matière de cybersécurité. 45 % avouent réutiliser des mots de passe, plus de 50 % ne protègent pas leur Wifi personnel par un mot de passe et 90 % disent utiliser des appareils fournis par leur employeur pour leurs activités personnelles. En outre, 32 % des adultes qui travaillent ne connaissent pas les services de réseaux privés virtuels (VPN).
- La reconnaissance des termes communs de cybersécurité fait défaut chez de nombreux utilisateurs : « phishing » : 61 % de réponses correctes, « ransomware » : 31 % de réponses correctes, « smishing » 30 % de réponses correctes et « vishing » 25 % de réponses correctes. Il existe donc une barrière linguistique potentielle pour les équipes de sécurité qui tentent d'éduquer les employés sur ces menaces.
- Les Millennials sont toujours moins performants que les autres groupes d'âge en matière de sensibilisation au phishing et aux rançongiciels. Les entreprises ne doivent pas supposer que les jeunes travailleurs ont une compréhension innée des menaces de cybersécurité. Les Millennials ont eu la meilleure reconnaissance d'un seul terme : le smishing.
Pour la France en particulier :
- 53 % des entreprises françaises interrogées déclarent avoir subi une attaque de phishing réussie en 2019. Pourtant, seulement 62 % de ces entreprises ont répondu positivement à la question « formez-vous vos employés à repérer et à éviter les attaques de phishing ? ». Sensibiliser ses employés en cybersécurité est primordial pour améliorer le niveau de défense de l’entreprise : 71% des organisations qui fournissent des formations à leurs collaborateurs ont pu quantifier une réduction de la vulnérabilité au phishing.
Pour télécharger le rapport "State of the Phish 2020" et voir une liste complète des tendances mondiales, consultez : https://www.proofpoint.com/fr/resources/threat-reports/state-of-phish. Vous trouverez davantage d’informations sur les meilleures pratiques et formations en matière de sensibilisation à la cybersécurité, ici : https://www.proofpoint.com/fr/products/security-awareness-training.
A propos de Proofpoint, Inc.
Proofpoint, Inc. (NASDAQ:PFPT) est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris plus de la moitié des entreprises de l’index Fortune 1000, font confiance aux solutions de sécurité et de conformité de Proofpoint centrées sur les individus, pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d'informations, rendez-vous sur www.proofpoint.com.
Restez en contact avec Proofpoint : Twitter| LinkedIn | Facebook | YouTube | Google+