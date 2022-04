SoSafe vient de publier son " Human Risk Review 2022 " qui consiste en une étude sur l’état des cybermenaces en Europe

avril 2022 par SoSafe

Trois éléments principaux se dégagent de ce rapport. (1) Neuf responsables de la cybersécurité sur dix constatent une aggravation de la menace constituée par les cyberattaques. On observe notamment une multiplication des attaques visant la chaîne logistique ainsi que des rançongiciels. Trois sur quatre personnes interrogées affirment que le développement du télétravail a aggravé la situation. (2) Près de la moitié des utilisateurs ouvrent des mails de phishing et une personne sur trois actives les contenus malveillants qu’ils contiennent. Les taux d’ouverture et de clics ont donc encore augmenté. Les événements politiques et les mouvements sociaux actuels sont instrumentalisés à des fins malveillantes. (3) Les risques peuvent être réduits de 90 % dans le meilleur de cas en mettant en place des mesures de sensibilisation systématiques à la cybersécurité.

SoSafe vient de publier son " Human Risk Review 2022 ". " Dans ce rapport, nous présentons brièvement les tendances actuelles et les évolutions en matière de cybermenace en Europe. Notre objectif est d’accroître la sensibilisation à ce sujet, notamment en ce qui concerne le "facteur humain" dans la sécurité de l’information ", explique Dr. Niklas Hellemann, directeur général de SoSafe. D’autres sources viennent corroborer les résultats présentés dans ce rapport. Une enquête menée par la société d’assurance Allianz[1] montre que les cyberincidents arrivent en tête des principaux risques encourus par une entreprise internationale. Lors de la conférence RSA 2021, le PDG de Cisco, Chuck Robbins, a évoqué un préjudice annuel s’élevant à 6 000 milliards de dollars.[2] L’interface entre l’homme et la machine reste la principale porte d’entrée de ces attaques : plus de 85 % d’entre elles nécessitent en effet une intervention humaine.[3]

Face à la professionnalisation des cybercriminels, les entreprises ciblées doivent absolument s’adapter. " Les collaborateurs ne doivent plus se contenter d’appliquer les mesures de sécurité. Ils ont le potentiel de former un véritable "pare-feu humain" qui permettrait de réduire durablement les risques pesant sur la sécurité. Pour ce faire, les entreprises doivent développer une culture de la sécurité qui permet à leurs collaborateurs d’avoir un rôle actif en leur apprenant à identifier les cybermenaces face auxquelles ils adopteront des comportements sûrs ", poursuit Hellemann, qui est également psychologue diplômé. Le " Human Risk Review 2022 " y contribue en présentant une série de mesures à adopter pour renforcer globalement et durablement la culture de la sécurité. Le " Behavioral Security Model " de SoSafe permet aux entreprises de réduire significativement et efficacement les risques liés au facteur humain grâce à une approche s’appuyant sur les sciences du comportement. Les données recueillies par SoSafe montrent que l’application de mesures de sensibilisation systématiques permet de réduire les risques de 90 % dans le meilleur des cas.

Le " Human Risk Review 2022 " s’appuie sur différentes sources de données. Outre une enquête menée par SoSafe auprès de 251 responsables de la cybersécurité, ce sont les données portant sur la réaction des utilisateurs de la plateforme de sensibilisation de SoSafe (4,3 millions de simulations de phishing réalisées auprès de 1 500 entreprises) qui ont été utilisées. Le rapport exploite également le " Phish-Test " mené chaque année par SoSafe et Botfrei sur la sensibilisation générale au phishing (en 2021, 1 350 utilisateurs ont reçu trois faux mails de phishing par semaine). Enfin, le rapport inclut l’analyse des études et contenus existants, ainsi qu’une série d’entretien avec d’autres experts du secteur.

Augmentation des risques et professionnalisation des cybercriminels

L’enquête de SoSafe montre avant tout que la menace constituée par la cybercriminalité s’est encore aggravée. En 2021, une entreprise sur trois (35 %) a été victime d’une cyberattaque réussie. Neuf experts en cybersécurité interrogés sur dix (90 %) ont confirmé l’aggravation de la menace. Les techniques d’attaques et l’organisation des cybercriminels se sont professionnalisées. " Les entreprises font face à une économie de la cybercriminalité innovante. De nouvelles méthodes sont développées pratiquement chaque minute ", déclare Hellemann. Deux tendances se dégagent. D’une part, des attaques sur la chaîne logistique à grande échelle ciblent les maillons faibles des chaînes d’approvisionnement et paralysent des entreprises ou des systèmes logistiques entiers. L’Agence de l’Union européenne pour la cybersécurité (ENISA) évoque même un " âge d’or " des rançongiciels.[4]Selon l’ENISA, certaines attaques sophistiquées, comme la double et triple extorsion, augmentent le risque de vol de données de 800 %.

Une personne sur trois clique sur les contenus malveillants des mails de phishing

Le phishing et le social engineering restent des problèmes persistants. Les attaques évoluent en permanence et sont adaptées en fonction des situations politiques ou sociales du moment, comme dans le cas de la guerre d’agression en Ukraine. " En très peu de temps, des attaques par ingénierie sociale se sont mises à proliférer, exploitant la volonté d’aider les Ukrainiens ", explique Hellemann. Et les données de SoSafe prouvent l’efficacité de ces méthodes. Près de la moitié des utilisateurs (45 %) ouvrent des mails de phishing. Parmi eux, une personne sur trois (30 %) clique sur les liens, les pièces jointes ou tout autre contenu malveillant que renferment ces mails. On observe une constante parmi les différents groupes d’utilisateurs. Ainsi, en 2021, les hommes ont plus souvent cliqué sur les mails de phishing (23 %) que les femmes (20 %), tandis que les personnes âgées de 18 à 49 ans les ont plus souvent ouverts (29 %) que les personnes de plus de 50 ans (19 %).

Par ailleurs, 58 % des utilisateurs ayant ouvert un mail de phishing interagissent avec son contenu, par exemple en saisissant des données personnelles dans des fenêtres de connexion factices. Non seulement les taux d’ouverture, de clics et d’interaction des mails de phishing restent à des seuils très élevés, mais ils ont augmenté par rapport à l’année précédente.

Les modes de travail hybrides représentent un vrai défi pour les entreprises

Trois personnes interrogées sur quatre (75 %) affirment en outre que le développement du télétravail et des modes de travail hybrides a aggravé la situation. Cela n’a rien de surprenant : ces modes de travail ont nécessité la mise en place de nouveaux réseaux de communication qui sont autant de points d’entrée que les cybercriminels peuvent exploiter pour atteindre les entreprises. Les pirates continuent à privilégier les attaques par ingénierie sociale, car les victimes tombent toujours dans le piège de la manipulation émotionnelle. Les solutions qui s’appuient sur la psychologie permettent donc de réduire significativement et efficacement les risques liés au facteur humain au sein d’une entreprise. 99 % des personnes interrogées souhaitent renforcer la culture de la cybersécurité dans leur entreprise durant l’année à venir.

