Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Proofpoint souligne l’importance de former les utilisateurs à reconnaitre et signaler les attaques ciblées par e-mail

janvier 2020 par Proofpoint, Inc.

Proofpoint publie son sixième rapport annuel qui analyse les tendances du phishing, et fournit un examen approfondi de la sensibilisation, de la vulnérabilité et de la résistance des utilisateurs au phishing. Le State of the Phish de Proofpoint examine les données mondiales de près de 50 millions d’attaques de phishing simulées envoyées par les clients de Proofpoint sur une période d’un an, ainsi que les réponses à des enquêtes menées par des tiers auprès de plus de 600 professionnels de la sécurité de l’information aux États-Unis, en Australie, en France, en Allemagne, au Japon, en Espagne et au Royaume-Uni. Le rapport analyse également les connaissances fondamentales en matière de cybersécurité de plus de 3 500 employés actifs qui ont été interrogés dans ces sept mêmes pays.

Parmi les principales conclusions, près de 90% des entreprises internationales interrogées ont été la cible d’attaques de compromission d’email professionnel (BEC) et de phishing, ce qui reflète l’intérêt persistant que les cybercriminels à attaquer les utilisateurs finaux. Également selon 78% des entreprises interrogées, les activités de formation à la cybersécurité ont entraîné une réduction mesurable de la vulnérabilité au phishing.

"Une formation efficace à la cybersécurité doit se concentrer sur les questions et les activités qui comptent le plus pour la mission de l’entreprise", a déclaré Joe Ferrara, vice-président senior et directeur général de la formation à la sensibilisation à la sécurité pour Proofpoint. "Nous recommandons d’adopter une approche de la cybersécurité centrée sur les personnes en combinant des formations à la sensibilisation à l’échelle de l’entreprise avec des exercices axés sur les menaces. L’objectif est de donner aux utilisateurs les moyens de reconnaître et de signaler les attaques".

Le rapport de cette année examine également les retours des utilisateurs finaux, une mesure essentielle pour évaluer le comportement des employés face aux menaces. Le volume de messages signalés a considérablement augmenté d’une année sur l’autre, les utilisateurs finaux ont signalé plus de neuf millions d’e-mails suspects en 2019, soit une augmentation de 67 % par rapport à 2018. Cette augmentation est particulièrement positive pour les équipes de sécurité informatique, car les chercheurs de Proofpoint ont montré une recrudescence des attaques ciblées et personnalisées. Les utilisateurs doivent redoubler de vigilance afin d’identifier les attaques de phishing sophistiquées, et les signaler rapidement.

Parmi les autres conclusions globales du rapport sur les tendances du phishing, Proofpoint observe les points suivants :

-  Plus de la moitié (55 %) des entreprises interrogées ont été confrontées à au moins une attaque de phishing réussie en 2019, et les professionnels de la sécurité informatique ont signalé une fréquence élevée de tentatives d’ingénierie sociale par diverses méthodes : 88 % des entreprise dans le monde ont signalé des attaques par phishing, 86 % des attaques BEC, 86% des attaques sur les réseaux sociaux, 84 % via des SMS de phishing (smishing), 83 % des phishing vocaux (vishing) et 81 % des téléchargements USB malveillants.

-  65 % des professionnels de l’informatique interrogés ont déclaré que leur entreprise avait été victime d’une infection par un rançongiciel en 2019 ; 33 % ont choisi de payer la rançon. Parmi ceux qui ont négocié avec les attaquants, 9 % ont été frappés par de nouvelles demandes de rançon, et 22 % n’ont jamais eu accès à leurs données, même après avoir payé la rançon.

-  Les organisations réprimandent les comportements dangereux. Au niveau mondial, 63 % des organisations prennent des mesures correctives à l’égard des utilisateurs qui commettent des erreurs répétées liées aux attaques de phishing. La plupart des répondants ont déclaré que la sensibilisation des employés s’est améliorée suite à la mise en œuvre d’un modèle de réprimande.

-  De nombreux employés admettent ne pas suivre les meilleures pratiques en matière de cybersécurité. 45 % avouent réutiliser des mots de passe, plus de 50 % ne protègent pas leur Wifi personnel par un mot de passe et 90 % disent utiliser des appareils fournis par leur employeur pour leurs activités personnelles. En outre, 32 % des adultes qui travaillent ne connaissent pas les services de réseaux privés virtuels (VPN).

-  La reconnaissance des termes communs de cybersécurité fait défaut chez de nombreux utilisateurs : « phishing » : 61 % de réponses correctes, « ransomware » : 31 % de réponses correctes, « smishing » 30 % de réponses correctes et « vishing » 25 % de réponses correctes. Il existe donc une barrière linguistique potentielle pour les équipes de sécurité qui tentent d’éduquer les employés sur ces menaces.

-  Les Millennials sont toujours moins performants que les autres groupes d’âge en matière de sensibilisation au phishing et aux rançongiciels. Les entreprises ne doivent pas supposer que les jeunes travailleurs ont une compréhension innée des menaces de cybersécurité. Les Millennials ont eu la meilleure reconnaissance d’un seul terme : le smishing.

Pour la France en particulier :

-  53 % des entreprises françaises interrogées déclarent avoir subi une attaque de phishing réussie en 2019. Pourtant, seulement 62 % de ces entreprises ont répondu positivement à la question « formez-vous vos employés à repérer et à éviter les attaques de phishing ? ». Sensibiliser ses employés en cybersécurité est primordial pour améliorer le niveau de défense de l’entreprise : 71% des organisations qui fournissent des formations à leurs collaborateurs ont pu quantifier une réduction de la vulnérabilité au phishing.




Voir les articles précédents

    

Voir les articles suivants