L'analyse réalisée par Verizon sur 1 600 incidents de cybersécurité et 800 violations de données a révélé que le phishing était impliqué dans 90 % des attaques couronnées de succès. Malgré des années de formation à la sensibilisation au phishing, les employés continuent de se faire piéger. Verizon a même inclus une section intitulée « Attack the Humans » dans son rapport annuel sur les enquêtes relatives aux violations de données (DBIR) de cette année. Pourquoi ? Les humains constituent votre maillon faible. Vous pouvez créer une nouvelle règle pour bloquer une attaque automatisée visant un serveur d'applications web, mais vous ne pouvez pas éliminer la nature humaine.
À qui s'adresse-t-il ? À tout le monde.
Autrefois, les attaques par ingénierie sociale étaient considérées comme le problème de quelqu’un d’autre, ou du moins c’est ce que pensaient beaucoup de gens. Aujourd’hui, c’est le problème de tout le monde. Verizon a constaté que tous les secteurs d’activité étaient très vulnérables à ces attaques. Si les employés des entreprises manufacturières étaient les plus susceptibles d’en être victimes, tous les secteurs affichaient un pourcentage significatif. Quand on sait qu’il suffit qu’un seul employé se laisse piéger par un seul e-mail parmi les nombreux qu’il peut recevoir en un an, ces pourcentages s’additionnent pour atteindre une probabilité de plus de 60 % qu’une entreprise soit victime d’une attaque chaque année.
De nombreux employés sont victimes de ces agissements à plusieurs reprises
Au-delà de l'analyse des données relatives aux violations de données, Verizon a également évalué les taux de réussite du phishing dans le cadre d'une étude contrôlée. Pour ce faire, Verizon a constitué un échantillon de trois millions d'utilisateurs issus de 2 280 organisations. L'entreprise a ensuite mené 14 000 campagnes. Les résultats ont montré que « 7,3 % des utilisateurs issus de différentes sources de données ont été victimes d'hameçonnage – que ce soit via un lien ou une pièce jointe ouverte… environ 15 % de tous les utilisateurs uniques qui ont été victimes une première fois ont également mordu à l'hameçon une deuxième fois. »
L'ingénierie sociale et le spear phishing coûtent cher aux victimes
Ces attaques de phishing simulées étaient génériques et non ciblées. Cependant, les attaques de spear phishing, plus personnalisées, affichent un taux de réussite environ neuf fois supérieur. Alors que les données compilées par Verizon indiquent que 219 000 personnes sur trois millions d’employés ont été victimes d’une arnaque de phishing générique, on peut s’attendre à ce que ce chiffre grimpe à 1,8 million pour les attaques de spear phishing ou d’ingénierie sociale. Cette dernière approche demande davantage d’efforts de la part de l’attaquant, mais les gains potentiels peuvent être considérables. « Les données de cette année font état de nombreux incidents impliquant l'usurpation de l'identité d'un dirigeant pour inciter une personne à transférer de l'argent (parfois des montants à six chiffres) depuis les comptes de l'entreprise. »
Verizon qualifie ces attaques d'ingénierie sociale plus sophistiquées de « prétexting » et précise qu'elles sont « presque toujours ciblées (c'est pourquoi plus de la moitié des victimes appartenaient au service financier), ce qui signifie que les auteurs mènent des recherches pour identifier le bon employé et inventer un scénario crédible ». Quelle est la méthode privilégiée pour lancer l'attaque ? Vous l'avez deviné. « L'e-mail était le principal vecteur de communication, représentant 88 % des incidents de prétexting dans le secteur financier. »
Firewalls humains Firewalls efficaces. Vous avez besoin d'une protection automatisée
Les données sont sans appel. Les attaques par e-mail visant les utilisateurs contournent les protections de votre réseau : il suffit qu’un seul employé morde à l’hameçon pour que votre entreprise soit compromise. Non seulement 7 % des employés se font piéger par des attaques de phishing et plus de 60 % par des attaques de spear phishing, mais les données de Verizon montrent également qu’un nombre important d’employés se font piéger une deuxième fois. C’est pourquoi une protection automatisée est si importante.
Chez Graphus, nous encourageons le recours à des formations sur le phishing et à des outils tels que DMARC et SPF, mais nous sommes également conscients que ces mesures ne suffisent pas à empêcher un grand nombre d'attaques de contourner vos défenses. C'est là que le Trust Graph mis en œuvre par Graphus une couche de protection supplémentaire et détecte les attaques d'ingénierie sociale avant qu'un incident ne se produise.
