Le vishing (hameçonnage vocal) trompera le monde avec des impostures de plus en plus réalistes.
Bien qu’ils soient actuellement considérés comme un amusement inoffensif, les cybercriminels ont rapidement compris que les "deepfakes" peuvent être utilisés pour des attaques d’ingénierie sociale, ce qui constitue une excellente occasion de maximiser les profits. Le "vishing", par ailleurs, est déjà utilisé comme une technologie d’imitation poussée pour faire croire aux employés qu’ils parlent avec des membres de leur propre organisation. À mesure que la qualité des technologies de deepfake et de vishing s’améliore et qu’elles deviennent encore plus faciles à créer, les cybercriminels sont certains de mener des attaques plus crédibles et réussies l’année prochaine.

La manipulation émotionnelle restera l’arme de choix des cybercriminels.
Manipuler les émotions des victimes afin d’obtenir et d’exploiter des informations confidentielles restera une tactique extrêmement précieuse pour les cybercriminels en 2023. Dans les e-mails de phishing, ils utilisent diverses tactiques psychologiques pour inciter les victimes potentielles à révéler des données ou à ouvrir des fichiers compromis. Avec une apparente volonté d’aider, les cybercriminels ont poussé plus d’un tiers (37 %) des destinataires à cliquer sur le contenu malveillant en 2022 - avec des louanges et des flatteries, ils ont même obtenu 41 % de clics, comme le montrent les données de SoSafe. C’est pourquoi, en 2023, il est encore plus crucial de se tenir au courant des dernières grandes tendances et des évolutions de la société susceptibles de provoquer la peur et l’incertitude par le biais de messages de phishing ultra crédibles, utilisant souvent des titres de sujets dramatiques, faisant le lien avec des événements politiques ou d’actualité, comme les nouvelles variantes de Covid ou la guerre russe en Ukraine.

L’épuisement des collaborateurs à distance et des équipes de sécurité entraînera de nouvelles failles de sécurité.
Le paysage des risques s’est considérablement aggravé depuis que le télétravail est devenu la norme - en 2023, la poursuite de l’évolution vers des modèles de travail hybrides et à distance créera de nouvelles faiblesses dans la sécurité des organisations, en particulier avec des collaborateurs de plus en plus épuisés et surmenés, opérant dans une économie difficile et incertaine. En conséquence, la stratégie de phishing qui a le plus progressé l’année dernière est celle qui consiste à exercer une pression sur les cibles - le taux de réussite de cette tactique a augmenté de plus de 10 %. À l’horizon 2023, les entreprises doivent doter leurs employés d’outils de sécurité performants et, surtout, de compétences nécessaires pour protéger leurs données, quel que soit l’endroit où ils travaillent. Alors que les organisations constatent une augmentation des attaques, les équipes de sécurité commencent à atteindre leurs limites et souffrent également d’épuisement professionnel, ce qui entraîne de nouvelles menaces de sécurité.

Les attaques de la chaîne d’approvisionnement seront dévastatrices pour les entreprises.
Les attaques de la chaîne d’approvisionnement ont explosé en 2022 et cette tendance se poursuivra au cours de la nouvelle année. Les cybercriminels améliorent leurs chances de réussite en exploitant les réseaux de partenaires et de fournisseurs de leurs victimes. Il suffit d’une faille de sécurité dans la chaîne d’approvisionnement (dans un logiciel utilisé par les partenaires ou les fournisseurs, par exemple) pour compromettre l’ensemble du réseau. L’impact peut être dévastateur et d’une grande portée. Un exemple très connu - aux conséquences considérables - est l’attaque Kaseya de 2021, où les attaquants ont exploité les mises à jour logicielles automatiques de l’entreprise pour diffuser une fausse mise à jour logicielle qui livrait le ransomware REvil.

Les tentatives ponctuelles d’extorsion par ransomware appartiendront au passé.
Les attaques composées de ransomware tenteront d’extorquer des sommes plus importantes aux organisations, ce qui augmentera le risque de dommages. En 2023, les cybercriminels utiliseront des tactiques psychologiques sophistiquées dans leurs extorsions et les combineront avec d’autres attaques - c’est ce qu’on appelle l’extorsion multiple. Ils poursuivront le vol, le cryptage et la demande de rançon initiaux de données sensibles (avec la menace de divulguer ces données si la rançon n’est pas payée) avec d’autres méthodes telles que les attaques DDoS, le crypto mining ou les réseaux de robots jusqu’à ce que leurs demandes soient satisfaites.

L’attention du Conseil d’Administration à la sécurité augmentera considérablement - et exigera le besoin de nouvelles mesures de sécurité.
Des mesures comportementales claires et significatives aident non seulement les décideurs à comprendre comment les employés réagissent à différents types de menaces, mais aussi à déterminer si un type de formation spécifique leur convient. De plus, cela leur donne la possibilité d’adapter constamment leurs initiatives de sensibilisation en fonction de ces résultats. Ces mesures tangibles sont des outils inestimables dans les discussions avec toutes les parties prenantes impliquées, des cadres dirigeants aux employés. À mesure que l’attention du conseil d’administration sur la sécurité augmentera considérablement en raison du paysage actuel des menaces, il y aura une demande et un besoin pour de nouvelles mesures comportementales qui aideront à illustrer l’impact culturel des programmes de sécurité sur la sécurité globale d’une organisation.