Les menaces cyber ciblant les individus représentent un risque croissant pour les entreprises ; les notifications de pénalités financières directes liées aux campagnes d’hameçonnage ont augmenté de 320 % en France, et celles liées aux dommages réputationnels de 166 %.

PARIS, France, 27 février 2024 — Proofpoint, Inc., l’une des sociétés leader dans les domaines de la cybersécurité et de la conformité, publie aujourd’hui son dixième rapport annuel State of the Phish, et révèle que plus des trois quarts (75 %) des salariés français mettent sciemment leur organisation en danger, entraînant une multiplication des risques d’infections par rançongiciel ou logiciels malveillants, un accroissement des cas de violation de données, et des pertes financières plus grandes.

Et si en France les cas de campagnes d’hameçonnage réussies ont légèrement diminué (66 % des organisations interrogées ont subi au moins une attaque réussie en 2023 contre 86 % l’année précédente), la France se démarque par l’augmentation substantielle des sanctions financières notamment imposées par les législateurs (+320 % contre 144 % en moyenne dans le monde) et par les atteintes à la réputation de l’entreprise (+166 % en France contre une augmentation moyenne de 50 % dans le reste du monde).

Le rapport 2024 souligne aussi que les comportements à risque ne sont pas nécessairement dus à un manque de connaissances en matière de cybersécurité, mais à l’écart qui existe entre les limites des technologies de sécurité individuelle et la formation des utilisateurs. Si les professionnels de la sécurité estiment que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils ont dans la protection de leur organisation, il semble que la sensibilisation à la sécurité ne soit pas suffisante pour prévenir complètement ces comportements dangereux.

« Les cybercriminels savent qu’un individu peut être facilement trompé, que ce soit par négligence, à travers la compromission d’identité ou, dans certains cas, par appât du gain », a déclaré Ryan Kalember, directeur de la stratégie chez Proofpoint. « Les utilisateurs jouent un rôle central dans la posture de sécurité de l’organisation, 74 % des violations étant encore centrées sur l’humain. Bien qu’il soit important de renforcer la culture de sécurité de l’entreprise, la formation à elle seule n’est pas une solution miracle. Il y a une différence notoire entre la parole et l’action : le défi n’est plus seulement la sensibilisation, mais aussi le changement de comportement. »

Le rapport State of the Phish de cette année apporte un aperçu détaillé du paysage actuel de la menace cyber, dans lesquelles l’IA générative, les QR codes et l’authentification multifactorielle (MFA) sont utilisés de manière abusive par des acteurs malveillants, comme en témoignent les données de télémétrie internes. En effet, Proofpoint a analysé plus de 2,8 milliards de courriers électroniques dans 230 000 organisations à travers le monde, ainsi que les résultats de 183 millions de simulations d’attaques par hameçonnage au cours des douze derniers mois.

Méthodologie et conclusions principales

Le rapport examine les perceptions de 7 500 employés et de 1 050 professionnels de la sécurité dans 15 pays. Il décrit comment les attitudes à l’égard de la sécurité se manifestent dans le monde réel et comment les cybercriminels trouvent de nouvelles façons de tirer parti de notre inclination pour la rapidité et la simplicité, ainsi que l’état actuel des initiatives de sensibilisation à la sécurité.

Les principales conclusions du rapport State of the Phish 2024 pour la France sont les suivantes :

Les collaborateurs n’exposent pas leur entreprise aux cyberattaques par manque de sensibilisation : 79 % des sondés français ont admis avoir pris des mesures risquées, telles que la réutilisation ou le partage d’un mot de passe, le fait de cliquer sur des liens provenant d’expéditeurs inconnus, ou en communiquant leurs informations d’identification à une source non fiable. Parmi eux, 95 % l’ont fait en connaissance des risques inhérents à la sécurité, ce qui signifie que 75 % des salariés français interrogés ont volontairement porté atteinte à la sécurité de leur entreprise. Les objectifs derrière les actions risquées sont variés, la plupart des sondés citant la commodité (43 %), le désir de gagner du temps (36 %) et le sentiment d’urgence (29 %) comme principales motivations.

Un écart entre les équipes informatiques et le reste de l’organisation empêche un réel changement de comportement : alors que 79 % des professionnels français de la sécurité interrogés déclarent que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils portent quant à la sécurité de l’entreprise, 64 % des employés interrogés n’en sont pas sûrs ou affirment qu’ils ne sont pas du tout responsables. Et même si la quasi-totalité des employés qui ont pris des mesures risquées connaissait les risques (95 %) — ce qui indique clairement que la formation en matière de sécurité contribue à sensibiliser les employés — il existe de nettes disparités entre la vision des professionnels de la sécurité et celle des autres collaborateurs, pour créer un véritable changement de comportement à l’échelle de l’entreprise. En France, les professionnels de la sécurité estiment que plus de formation (76 %) et des contrôles plus stricts (80 %) sont la solution, mais presque tous les employés interrogés (94 %) ont déclaré qu’ils donneraient la priorité à la sécurité si les contrôles étaient simplifiés et plus conviviaux. 

La MFA continue de donner un faux sentiment de sécurité : plus d’un million d’attaques sont lancées chaque mois à l’aide d’EvilProxy, un système de contournement de la MFA. Pourtant, il est inquiétant de constater que 91 % des professionnels français de la sécurité pensent encore que la MFA offre une protection complète contre la prise de contrôle d’un compte.

L’IA booste les attaques par compromission d’identité (BEC) : en France, 62 % des organisations interrogées ont été la cible d’attaques BEC (Business Email Compromise) en 2023, un chiffre en baisse par rapport à l’année précédente où le pourcentage était de 80 %. Dans l’ensemble, il y a eu moins de signalements de tentatives de fraude par courriel au niveau mondial, mais certains pays ont connu une augmentation du volume d’attaques, comme le Japon (+35 %), la Corée du Sud (+31 %) et les Émirats Arabes Unis (+29 %). Ces pays ont peut-être été moins touchés par les attaques BEC dans le passé en raison de barrières culturelles ou linguistiques, mais l’utilisation de l’IA générative permet aux attaquants de créer des courriels plus convaincants et personnalisés dans plusieurs langues. En moyenne, Proofpoint détecte 66 millions d’attaques BEC ciblées chaque mois.

La cyber extorsion reste une forme d’attaque lucrative et le paiement de rançon ne garantit pas la récupération complète des données : 70 % des organisations françaises interrogées ont été infectées par un rançongiciel au cours de l’année écoulée (soit une augmentation de 6 points de pourcentage d’une année sur l’autre) ; de manière alarmante, 63 % des professionnels français de l’informatique ont déclaré que leur organisation avait été infectée par plusieurs rançongiciels distincts. Parmi les organisations touchées en France, 30 % ont accepté de payer les attaquants (contre 54 % en moyenne dans le monde), et seuls 47 % ont retrouvé l’accès complet à leurs données après un seul paiement (contre 63 % il y a un an).

Les attaques par téléphone (TOAD) continuent de proliférer : bien qu’apparaissant initialement comme un message innocent, ne contenant rien de plus qu’un numéro de téléphone et quelques informations erronées, la chaîne d’attaque est activée lorsqu’un collaborateur peu méfiant appelle un centre d’appel frauduleux, fournissant ses informations d’identification ou accordant un accès à distance à des acteurs malveillants. Proofpoint détecte en moyenne 10 millions d’attaques TOAD par mois, avec un pic récent en août 2023, avec 13 millions d’incidents.

Malgré l’importance et la sophistication croissante des menaces telles que les rançongiciels, les TOAD et les contournements de MFA, de nombreuses organisations ne sont pas suffisamment préparées ou formées pour y faire face. Seuls 16 % des organisations françaises interrogées forment leurs utilisateurs à la reconnaissance et à la prévention des attaques TOAD, et seulement 25 % à la sécurité de l’IA générative.

Pour télécharger le rapport State of the Phish 2024 et consulter la liste complète des comparaisons mondiales et régionales, rendez-vous sur : https://www.proofpoint.com/us/resources/threat-reports/state-of-phish.

Pour plus d’informations sur la façon de favoriser le changement de comportement, rendez-vous sur : https://www.proofpoint.com/fr/product-family/security-awareness-training.  

### 

À propos de Proofpoint, Inc.  

Proofpoint, inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris 85 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.    

Connectez-vous avec Proofpoint : X | LinkedIn (en anglais seulement) | Facebook (en anglais seulement) | Youtube 

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce contenues dans le présent document sont la propriété de leurs propriétaires respectifs.