Le rapport State of the Phish de cette année examine les réponses aux sondages réalisés auprès de 600 professionnels de l’information et de la sécurité informatique et de 3 500 employés aux États-Unis, en Australie, en France, en Allemagne, au Japon, en Espagne et au Royaume-Uni. Le rapport analyse également les données de près de 100 millions d’attaques de phishing simulées envoyées par les clients de Proofpoint à leurs employés sur une période d’un an, ainsi que plus de 15 millions de mails signalés via le bouton de signalement PhishAlarm activé par l’utilisateur.

Le rapport inclut les résultats indexés et référencés par région, industrie et fonction, et souligne la nécessité d’adopter une approche de la cybersécurité centrée sur les personnes. Il met également en évidence des exemples réels de phishing et illustre la valeur d’une solution de formation qui tient compte de l’évolution des conditions de marché, comme celles que les organisations ont pu connaître tout au long de la pandémie.

Les attaques de 2021 ont également eu un impact beaucoup plus important qu’en 2020, en témoignent les 83 % de personnes interrogées qui révèlent que leur organisation a subi au moins une attaque de phishing réussie par email, contre 57 % en 2020. Par ailleurs, plus des deux tiers (68 %) des organisations sondées ont déclaré avoir traité au moins une infection par rançongiciel découlant d’une charge utile directe (“payload”) par email, d’une livraison de logiciels malveillants de deuxième étape ou d’une autre attaque. L’augmentation d’une année sur l’autre reste continue mais marque bien l’ampleur des défis auxquels les organisations ont été confrontées face à la montée des attaques de rançongiciel depuis 2021.

« ?Là où 2020 nous a appris la nécessité d’être agile et réactif face au changement, 2021 nous a démontré la nécessité de mieux nous protéger ? », a déclaré Loïc Guézo, Directeur de la Stratégie Cybersécurité SEMEA chez Proofpoint ?France. « ?Alors que l’email reste la méthode d’attaque préférée des cybercriminels, il est évident qu’il nous faut instaurer une culture de la sécurité. Dans ce paysage de menaces en constante évolution et alors que le travail à distance devient monnaie courante, il est essentiel que les organisations donnent à leurs employés les moyens d’agir et soutiennent leurs efforts pour apprendre et appliquer de nouvelles compétences et de nouveaux comportements cyber, au bureau et à la maison, mais aussi désormais de … partout ?! »

Le passage au travail hybride s’est accéléré en 2021, 81 % des organisations affirmant que plus de la moitié de leurs employés travaillent à distance (à temps partiel ou complet) en raison de la pandémie. Cependant, seulement 37 % éduquent les travailleurs sur les meilleures pratiques pour le travail à distance, ce qui illustre une lacune inquiétante dans la connaissance des meilleures pratiques de sécurité pour la "nouvelle normalité" du travail. Par exemple, 97 % des travailleurs ont déclaré disposer d’un réseau Wi-Fi à domicile, mais seuls 60 % d’entre eux ont indiqué que leur réseau était protégé par un mot de passe, ce qui constitue une lacune importante en matière d’hygiène de sécurité de base.

« ?Les participants à l’enquête Infosec et IT ont connu une augmentation des attaques ciblées en 2021 par rapport à 2020, pourtant notre analyse a montré que la reconnaissance des terminologies de sécurité clés telles que le phishing, les logiciels malveillants, le smishing et le vishing a chuté de manière significative ? », a déclaré Loïc Guézo. « ?Les lacunes en matière de sensibilisation et les comportements laxistes en matière de sécurité dont font preuve les travailleurs créent un risque substantiel pour les organisations et leurs résultats. Notre rapport 2022 offre des conseils pratiques visant à améliorer la sensibilisation des utilisateurs, à réduire les risques et à protéger les personnes.? »

Les résultats suivants, propres à la France, montrent à quel point les pratiques et les comportements en matière de cybersécurité peuvent varier selon les régions. Consultez le rapport pour obtenir tous les détails sur nos découvertes en Amérique du Nord, en EMEA et en APAC :

• Les attaques par email dominent le paysage des menaces en France en 2021 : 88 % des personnes interrogées en France ont déclaré que leur organisation avait été confrontée à de vastes attaques de phishing en 2021. Par ailleurs, 80 % d’entre elles ont été confrontées à au moins une attaque de rançongiciel par email et 75 % à une ou plusieurs attaques de compromission d’emails professionnels (BEC).

• En plus d’être plus actifs, les cybercriminels ont eu plus de succès en 2021. 88 % des personnes interrogées en France ont déclaré que leur organisation avait subi au moins une attaque de phishing réussie.

• 81 % des organisations françaises ont déclaré avoir été confrontées à au moins une infection par rançongiciel provenant d’une charge utile directe d’un email, d’une livraison de logiciels malveillants de deuxième étape ou d’un autre exploitant - le taux le plus élevé de tous les pays étudiés dans le monde. Parmi ceux-ci, 56 % ont choisi de payer au moins une rançon. Pour aller plus loin, 69 % ont payé une rançon et obtenu l’accès à leurs données/systèmes, 20 % ont payé une rançon initiale et une ou plusieurs rançons complémentaires et ont obtenu l’accès aux données/systèmes, 4 % ont payé une rançon initiale, ont refusé de payer davantage et n’ont pas obtenu l’accès aux données et 7 % n’ont jamais eu accès aux données après avoir payé une rançon.

• Malgré le niveau élevé d’infections par rançongiciel en France, seulement 44 % de ces organisations couvrent les rançongiciels dans leur programme de formation à la sécurité.

• La France est le pays qui a le moins modifié son lieu de travail en raison de la pandémie. 47 % des travailleurs français ont déclaré que la pandémie n’avait pas eu d’impact sur leur lieu de travail (le pourcentage le plus élevé de tous les pays étudiés, la moyenne mondiale étant de 36 %). C’est peut-être pour cette raison que 32 % des travailleurs français sont les plus susceptibles de dire qu’ils n’utilisent pas d’appareils personnels pour des activités liées au travail (contre 26 % pour la moyenne mondiale).

• La France est à l’avant-garde en matière de formation généralisée à la cybersécurité. 68 % des personnes interrogées en France ont déclaré qu’elles dispensent une formation à l’échelle de l’entreprise, soit le pourcentage le plus élevé de toutes les régions étudiées.

Parmi les autres conclusions mondiales du rapport State of the Phish, citons les points essentiels suivants :

• Près de 60 % des personnes infectées par un rançongiciel ont payé une rançon. Nombre d’entre elles (32 %) ont payé des rançons supplémentaires pour retrouver l’accès aux données et aux systèmes. 54 % ont retrouvé l’accès aux données/systèmes après le premier paiement, tandis que 4 % n’ont jamais eu accès aux données/systèmes, même après avoir payé. 10 % ont refusé de payer la ou les demandes de rançon supplémentaires et sont repartis sans données.

• De nombreux travailleurs adoptent des comportements à risque et ne respectent pas les meilleures pratiques en matière de cybersécurité. 42 % ont déclaré avoir effectué une action dangereuse (cliquer sur un lien malveillant, télécharger un logiciel malveillant ou exposer leurs données personnelles ou leurs identifiants de connexion) en 2021. Et 56 % des personnes ayant accès à un appareil fourni par l’employeur (ordinateur portable, smartphone, tablette, etc.) ont autorisé leurs amis et leur famille à utiliser ces appareils pour faire des choses telles que jouer à des jeux, diffuser des médias et faire des achats en ligne.

• La connaissance de la terminologie liée à la cybersécurité a diminué (dans certains cas, de manière significative) d’une année sur l’autre. Seuls 53 % des personnes interrogées ont été capables d’identifier correctement la définition du terme "phishing" dans un questionnaire à choix multiples. Ce chiffre est inférieur aux 63 % de l’année précédente, soit une baisse de 16 % d’une année sur l’autre. Seuls 63 % ont reconnu la définition de malware (contre 65 % en 2020), 23 % seulement ont identifié la définition de smishing (contre 31 % en 2020) et 24 % seulement ont reconnu la définition de vishing (contre 30 % en 2020). Le rançongiciel est le seul terme dont la reconnaissance a globalement augmenté, les bonnes réponses passant de 33 % en 2020 à 36 % en 2021.

• Les clients de Proofpoint ont constaté des résultats positifs en matière de sensibilisation et de comportements de sécurité, même avec davantage de tests et un climat de menace plus actif. Le taux d’échec moyen de nos clients aux simulations de phishing s’est maintenu à 11 % d’une année sur l’autre, même avec l’augmentation de 50 % des tests constatée sur notre période de mesure de 12 mois.

• Les employés ont pu mieux signaler les emails suspects qu’ils reçoivent dans leur boîte de réception. Au cours de notre période de mesure d’un an, les utilisateurs ont alerté leurs équipes de sécurité de plus de 350 000 emails de phishing de vol d’identifiants, de près de 40 000 emails contenant des charges utiles de logiciels malveillants et de plus de 20 000 emails de spam malveillants.