Pour lutter contre le phishing, signalement réactif et réponse rapide constituent deux atouts essentiels

Dans une étude menée auprès de 80 000 participants, un employé sur cinq est tombé dans le piège d’e-mails de phishing prétendant provenir des ressources humaines.

Rueil-Malmaison – 01 février 2022 : Selon une nouvelle étude du fournisseur de cybersécurité F-Secure, les e-mails de phishing les plus redoutables sont ceux qui imitent les annonces de RH ou demandent de régler une facture.

Intitulée  « Cliquer ou ne pas cliquer : les enseignements d'une étude de phishing ciblant 80 000 personnes », cette étude a testé le comportement des employés de quatre entreprises, face à des e-mails simulant des attaques courantes de phishing. La recherche a porté sur 82 402 professionnels.

Les e-mails prétendant provenir des ressources humaines et évoquant les congés annuels ont donné lieu à 22 % de clics. Les faux e-mails des RH constituent ainsi, d’après cette étude, les attaques de phishing les plus redoutables.

Les e-mails demandant au destinataire de participer au règlement d'une facture (attaques surnommée « fraude au CEO » dans le rapport) arrivent en deuxième position, avec un taux de clic de 16%.

Les e-mails de partage de documents (notification d'un service d'hébergement de documents) et de notification de problème de services (message d'un service en ligne), à l’inverse, n’ont donné lieu respectivement qu’à 7% et 6% de clics : il s'agit donc, dans cette étude, des e-mails de phishing les moins trompeurs.

Selon Matthew Connor, Service Delivery Manager chez F-Secure et auteur principal du rapport, le résultat le plus marquant de cette étude concerne les professionnels occupant des fonctions « techniques » : contrairement à ce qui était attendu, ces utilisateurs semblent être tout aussi vulnérables aux tentatives de phishing que les autres employés, voire même davantage.

« Ces professionnels possèdent un accès privilégié à l'infrastructure de l'entreprise : ils constituent de ce fait des cibles privilégiées pour les pirates informatiques. Le fait qu'ils soient si sensibles au phishing est préoccupant », explique Matthew Connor. « Les enquêtes menées après l'étude ont révélé que ces professionnels sont davantage sensibilisés sur les tentatives de phishing. Le fait qu’ils cliquent aussi souvent ou plus souvent que les autres, malgré leur niveau de sensibilisation, révèle un défi important dans la lutte contre le phishing. »

Deux des organisations étudiées possédaient des équipes dédiées en informatique et en DevOps. Pour ces équipes, le pourcentage d'utilisateurs tombés dans le piège était égal ou supérieur à celui des autres services de l'entreprise. Pour la première organisation : 26% pour le département DevOps et 24% pour le département informatique, contre 25% en moyenne. Et pour la seconde : 30% pour le département DevOps et 21% pour le département informatique, contre 11% en moyenne.

Cette étude a également révélé que ces services techniques ne présentent pas non plus de meilleures performances au moment de signaler les tentatives de phishing. Dans la première organisation, les départements informatiques et DevOps arrivent en troisième et sixième position sur les neuf services de l'entreprise en termes de signalement. Dans la seconde organisation, le département DevOps arrive douzième sur dix-sept départements, et le département informatique n'atteint que la quinzième position.

Le rapport précise à quel point il est vital de disposer d'un processus de reporting rapide et facile à utiliser. Dans la première minute suivant l'arrivée de ces e-mails de test dans les boîtes de réception, le nombre d’utilisateurs piégés est trois fois supérieur au nombre de signalements. Après cinq minutes, ce rapport commence à s'équilibrer et, après 30 minutes, les signalements deviennent plus fréquents que les clics.

Les différents processus opérationnels au sein de chaque entreprise jouent un rôle-clé dans les résultats obtenus. Dans l'une d'elles, où tous les employés disposent d'un bouton pour signaler les e-mails suspects, 47% des e-mails de phishing du test ont été signalés. Dans deux autres des entreprises étudiées, seuls 13% et 12% des participants ont signalé ces e-mails (l'entreprise restante n'a pas fourni de données sur le signalement). 

Selon Riaan Naude, directeur du conseil chez F-Secure, face à de tels résultats, les entreprises doivent mobiliser leurs employés pour mener une lutte active contre le phishing.

« Les données de l'étude indiquent clairement que les processus de signalement rapides et faciles constituent un bon compromis dans la lutte contre le phishing. Ils permettent au personnel de sécurité de travailler main dans la main avec les autres équipes, pour améliorer la résilience globale de leur entreprise. Grâce à ces processus, une attaque de phishing peut être détectée et évitée plus rapidement. C'est essentiel car les équipes de sécurité n'ont parfois que quelques précieuses minutes pour neutraliser une attaque potentielle », explique Riian Naude.  

Pour plus d'informations sur les solutions conçues pour aider les entreprises à faire face au phishing et à d'autres problèmes de sécurité, consultez le site https://www.f-secure.com/business.

A propos de F-Secure

Fondée en 1988, F-Secure est une entreprise finlandaise spécialisée en cybersécurité et cotée au NASDAQ OMX Helsinki Ltd. Depuis plus de trente ans, nous protégeons des dizaines de milliers d’entreprises et des millions de particuliers grâce à notre réseau de partenaires de distribution, et plus de 200 fournisseurs de services. Des solutions de protection des postes de travail à la détection et réponses aux menaces avancées, nous veillons à ce que nos utilisateurs puissent compter sur une cyber sécurité de haut-niveau. L’alliance unique de l’expertise humaine de solutions logicielles et d’intelligence artificielle nous permet d’être reconnu comme un acteur incontournable du marché européen.

f-secure.com/fr | twitter.com/fsecurefrance | linkedin.com/f-secure​ | facebook.com/f-secure

F-Secure media relations

Amon Francoise Koutoua

PR Manager, France & Benelux

+33 6 43 62 98 12
amon.francoise.koutoua@f-secure.com

Liste de presse

Inscrivez-vous pour recevoir nos dernières informations Presse F-Secure

We process the personal data you share with us in accordance with our Corporate Business Privacy Policy.

Archives Presse

Recherche par année

Parcourir par année

Recherche par catégorie

Parcourir par catégorie