SoSafe vient de
publier son " Human Risk Review 2022 ". " Dans ce rapport, nous
présentons brièvement les tendances actuelles et les évolutions en
matière de cybermenace en Europe. Notre objectif est d’accroître la
sensibilisation à ce sujet, notamment en ce qui concerne le "facteur
humain" dans la sécurité de l’information ", explique Dr. Niklas
Hellemann, directeur général de
SoSafe. D’autres sources viennent corroborer les résultats présentés
dans ce rapport. Une enquête menée par la société d’assurance
Allianz[1] montre que les cyberincidents arrivent en tête des
principaux risques encourus par une entreprise internationale. Lors
de la conférence RSA 2021, le PDG de Cisco, Chuck Robbins, a évoqué
un préjudice annuel s’élevant à 6 000 milliards de dollars.[2]
L’interface entre l’homme et la machine reste la principale porte
d’entrée de ces attaques : plus de 85 %
d’entre elles nécessitent en effet une intervention humaine.[3]

Face à la professionnalisation des cybercriminels, les entreprises
ciblées doivent absolument s’adapter. " Les collaborateurs ne doivent
plus se contenter d’appliquer les mesures de sécurité. Ils ont le
potentiel de former un véritable "pare-feu humain" qui permettrait de
réduire durablement les risques pesant sur la sécurité. Pour ce
faire, les entreprises doivent développer une culture de la sécurité
qui permet à leurs collaborateurs d’avoir un rôle actif en leur
apprenant à identifier les
cybermenaces face auxquelles ils adopteront des comportements sûrs ",
poursuit Hellemann, qui est également psychologue diplômé. Le " Human
Risk Review 2022 " y contribue en présentant une série de mesures à
adopter pour renforcer globalement et durablement la culture de la
sécurité. Le " Behavioral Security Model " de SoSafe permet aux
entreprises de réduire significativement et efficacement les risques
liés au facteur humain grâce à une approche s’appuyant sur les
sciences du comportement. Les
données recueillies par SoSafe montrent que l’application de mesures
de sensibilisation systématiques permet de réduire les risques de 90
% dans le meilleur des cas.

Le " Human Risk Review 2022 " s’appuie sur différentes sources de
données. Outre une enquête menée par SoSafe auprès de 251
responsables de la cybersécurité, ce sont les données portant sur la
réaction des utilisateurs de la plateforme de sensibilisation de
SoSafe (4,3 millions de simulations de phishing réalisées auprès de 1
500 entreprises) qui ont été utilisées. Le rapport exploite également
le " Phish-Test " mené chaque année par SoSafe et Botfrei sur la
sensibilisation générale au phishing
(en 2021, 1 350 utilisateurs ont reçu trois faux mails de phishing
par semaine). Enfin, le rapport inclut l’analyse des études et
contenus existants, ainsi qu’une série d’entretien avec d’autres
experts du secteur.

Augmentation des risques et professionnalisation des cybercriminels

L’enquête de SoSafe montre avant tout que la menace constituée par la
cybercriminalité s’est encore aggravée. En 2021, une entreprise sur
trois (35 %) a été victime d’une cyberattaque réussie. Neuf experts
en cybersécurité interrogés sur dix (90 %) ont confirmé l’aggravation
de la menace. Les techniques d’attaques et l’organisation des
cybercriminels se sont professionnalisées. " Les entreprises font
face à une économie de la cybercriminalité innovante. De nouvelles
méthodes sont développées
pratiquement chaque minute ", déclare Hellemann. Deux tendances se
dégagent. D’une part, des attaques sur la chaîne logistique à grande
échelle ciblent les maillons faibles des chaînes d’approvisionnement
et paralysent des entreprises ou des systèmes logistiques entiers.
L’Agence de l’Union européenne pour la cybersécurité (ENISA) évoque
même un " âge d’or " des rançongiciels.[4]Selon l’ENISA, certaines
attaques sophistiquées, comme la double et triple extorsion,
augmentent le risque de vol de
données de 800 %.

Une personne sur trois clique sur les contenus malveillants des mails
de phishing

Le phishing et le social engineering restent des problèmes
persistants. Les attaques évoluent en permanence et sont adaptées en
fonction des situations politiques ou sociales du moment, comme dans
le cas de la guerre d’agression en Ukraine. " En très peu de temps,
des attaques par ingénierie sociale se sont mises à proliférer,
exploitant la volonté d’aider les Ukrainiens ", explique Hellemann.
Et les données de SoSafe prouvent l’efficacité de ces méthodes. Près
de la moitié des utilisateurs (45
%) ouvrent des mails de phishing. Parmi eux, une personne sur trois
(30 %) clique sur les liens, les pièces jointes ou tout autre contenu
malveillant que renferment ces mails. On observe une constante parmi
les différents groupes d’utilisateurs. Ainsi, en 2021, les hommes ont
plus souvent cliqué sur les mails de phishing (23 %) que les femmes
(20 %), tandis que les personnes âgées de 18 à 49 ans les ont plus
souvent ouverts (29 %) que les personnes de plus de 50 ans (19 %).

Par ailleurs, 58 % des utilisateurs ayant ouvert un mail de phishing interagissent avec
son contenu, par exemple en saisissant des données personnelles dans
des fenêtres de connexion factices. Non seulement les taux
d’ouverture, de clics et d’interaction des mails de phishing restent
à des seuils très élevés, mais ils ont augmenté par rapport à l’année
précédente.

Les modes de travail hybrides représentent un vrai défi pour les
entreprises

Trois personnes interrogées sur quatre (75 %) affirment en outre que
le développement du télétravail et des modes de travail hybrides a
aggravé la situation. Cela n’a rien de surprenant : ces modes de
travail ont nécessité la mise en place de nouveaux réseaux de
communication qui sont autant de points d’entrée que les
cybercriminels peuvent exploiter pour atteindre les entreprises. Les
pirates continuent à privilégier les attaques par ingénierie sociale,
car les victimes tombent toujours dans le
piège de la manipulation émotionnelle. Les solutions qui s’appuient
sur la psychologie permettent donc de réduire significativement et
efficacement les risques liés au facteur humain au sein d’une
entreprise. 99 % des personnes interrogées souhaitent renforcer la
culture de la cybersécurité dans leur entreprise durant l’année à
venir.

[1] Allianz (2022). Allianz Risk Barometer 2022 : Cyber perils outrank
Covid-19 and broken supply chains as top global business risk.

[2] SDX Central (2021). Cisco CEO : Cybercrime Damages Hit $6
Trillion. https://www.sdxcentral.com/articles/news/cisco-ceo-cybercri
me-damages-hit-6-trillion/2021/05/

[3] Gartner Report (2021). Market Guide for Security Awareness
Computer-Based Training.

[4] ENISA (2021). ENISA Threat Landscape 2021.