Le rapport annuel « State of the Phish » de Proofpoint révèle les dernières tendances en matière de rançongiciel et d’hameçonnage et souligne la nécessité d’une formation en cybersécurité adaptée dans un contexte de télétravail généralisé
77 % des organisations françaises ont demandé à leurs employés de travailler depuis leur domicile en 2020, mais seules 38 % les forment aux meilleures pratiques de sécurité en condition de télétravail.
Proofpoint (NASDAQ : PFPT), entreprise leader en matière de cybersécurité et de conformité, publie aujourd'hui son septième rapport annuel State of the Phish qui explore les expériences des entreprises en matière de phishing et évalue le niveau de sensibilisation, de vulnérabilité et de résilience des utilisateurs. Plus de 75 % des professionnels de la sécurité interrogés à travers le monde ont déclaré que leur organisation a été confrontée à des attaques de phishing majeures en 2020 - réussies ou non. 66 % des répondants ont quant à eux été la cible d’attaques de ransomware.
Ce nouveau rapport State of the Phish analyse les réponses d’une enquête mondiale indépendante menée auprès de plus de 600 professionnels de la sécurité de l'information en France, en Allemagne, en Espagne, aux États-Unis, en Australie, au Royaume-Uni et au Japon. Il met également en lumière les connaissances en matière de cybersécurité de 3 500 employés actifs qui ont été interrogés dans ces sept mêmes pays. Enfin, il intègre l’analyse des données de plus de 60 millions d'attaques de phishing simulées envoyées par les clients de Proofpoint à leurs employés sur une période d'un an, ainsi que de 15 millions d'emails signalés par les utilisateurs via le bouton de signalement PhishAlarm.
Voici les principales conclusions pour la France :
- 77 % des organisations françaises ont demandé à leurs employés de travailler depuis leur domicile en 2020, mais seules 38 % les forment aux meilleures pratiques de sécurité en condition de télétravail.
- Les organisations françaises ont du mal à mettre en œuvre des programmes de formation en cybersécurité réellement adaptés aux menaces spécifiques auxquelles elles sont confrontées. Seuls 39 % des professionnels de la cybersécurité français font en effet l’effort d’adapter leurs programmes de sensibilisation, contre 53 % en moyenne dans le monde.
- 43% des organisations françaises utilisent un modèle de réprimande, c’est à dire que des sanctions sont appliquées pour les utilisateurs qui se font piéger à plusieurs reprises par des attaques de phishing réelles ou simulées (contre 55% en moyenne dans le monde). Les principales conséquences pour les récidivistes sont un avertissement de la part de leur responsable (65 %), un avertissement de la part de l'équipe de sécurité informatique (60 %) et une incidence sur les évaluations annuelles des performances (42 %). Il est surprenant de constater que le taux de licenciement a atteint 26 %, soit plus que la moyenne mondiale s’établissant à 20 %.
- 72% des organisations françaises ont déclaré qu'un modèle de réprimande a permis d'améliorer la sensibilisation des employés.
- Les employés français sont les plus avertis en matière de smishing (hameçonnage par SMS), 60% d’entre eux étant capable de bien définir ce terme (contre seulement 31 % à l’échelle mondiale). Si elle tend à se développer, cette pratique reste néanmoins un peu moins fréquente en France que dans les autres régions du monde. 47 % des répondants français ont en effet déclaré que leur entreprise avait été confrontée à des campagnes de smishing en 2020, contre 60 % en moyenne dans le monde.
- Les employés français sont également bien sensibilisés au vishing (hameçonnage par téléphone), 54 % d’entre eux étant capable de bien définir ce terme. A titre de comparaison, seuls 18 % des employés allemands ont relevé ce défi avec succès. Encore une fois, la France semble plus épargnée par cette menace que le reste du monde. Seuls 29 % des répondants français ont en effet déclaré que leur entreprise avait été confrontée à des escroqueries par téléphone en 2020, bien en dessous de la moyenne mondiale à 54 %.
« Les conclusions relatives aux conditions de télétravail en France sont troublantes", déclare Loïc Guézo. « Plus de 3 organisations sur 4 ont déclaré soutenir un nouveau modèle de travail à distance mais à peine 38 % forment leurs employés aux pratiques de sécurité dans de telles conditions. Ce sont pourtant ces mêmes utilisateurs qui peuvent avoir des comportements à risque et, par exemple, permettre à leurs amis et à leur famille d'accéder à des appareils professionnels pour faire des achats ou jouer à des jeux en ligne. Ces lacunes représentent un risque inquiétant et renforcent la nécessité d'initiatives de sensibilisation à la sécurité adaptées au télétravail ».
Parmi les autres conclusions globales du rapport State of the Phish :
- Davantage d'organisations ont été la cible d’attaques de phishing réussies en 2020 qu’en 2019, (57 % contre 55 %). En outre, les attaques par compromission d’email professionnel (BEC) restent une menace très sérieuse.
- Sur les deux tiers des personnes qui ont déclaré que leur organisation avait été victime d'une infection par ransomware en 2020, plus de la moitié a décidé de payer la rançon dans l'espoir de retrouver rapidement l'accès à leurs données. Parmi ceux qui ont payé, 60 % ont retrouvé l'accès aux données/systèmes après le premier paiement. Cependant, près de 40 % ont été frappés par des demandes de rançon supplémentaires après un premier paiement, soit une augmentation annuelle de 320 %. Trente-deux pour cent ont en outre déclaré avoir dû par la suite payer des rançons supplémentaires, soit une augmentation de 1 500 % par rapport à 2019.
- 80% des organisations interrogées ont indiqué que la formation et la sensibilisation à la sécurité a réduit leur vulnérabilité aux attaques de phishing. Mais alors que 98 % des professionnels de la sécurité informatique interrogés ont déclaré que leur organisation disposait d'un programme de formation à la sensibilisation à la sécurité, seuls 64 % proposent des sessions de formation formelles à la cybersécurité à leurs utilisateurs.
- Le secteur le plus touché par des attaques de phishing en 2020 est celui de l’industrie manufacturière. Face à un nombre élevé d'attaques, le taux d'échec des entreprises de ce secteur a atteint 11 %.
- A l’échelle des départements de l’entreprise, les services achats ont été les plus performants pour résister contre ces attaques, avec un taux d'échec moyen de 7 %. Les équipes de maintenance et de gestion des installations sont les départements les moins performants, avec des taux d'échec moyens de 15 % et 17 % respectivement.
« Dans le monde entier, les acteurs de la menace continuent de cibler les personnes avec des communications sophistiquées et à l’apparence légitime, notamment via le canal email, qui reste le principal vecteur de menace", déclare Loïc Guézo, Directeur Stratégie Cybersécurité EMEA chez Proofpoint. « S'assurer que les utilisateurs comprennent comment repérer et signaler les tentatives de cyberattaques est primordial pour la santé d’une entreprise, d'autant plus que les collaborateurs continuent de travailler à distance - souvent dans un environnement moins sécurisé. Alors que de nombreuses organisations affirment qu'elles dispensent une formation de sensibilisation à la sécurité à leurs employés, nos données montrent que la plupart d'entre elles n'en font pas encore assez ».
Les organisations sont encouragées à développer de manière proactive des stratégies de cybersécurité centrées sur l’humain qui tiennent compte non seulement des expériences partagées entre les régions, les industries et les départements, mais aussi des menaces qui sont propres à leurs activités, leurs objectifs et leurs employés.
Pour télécharger le rapport State of the Phish 2021 et consulter la liste complète des tendances mondiales et régionales, veuillez consulter : https://www.proofpoint.com/fr/resources/threat-reports/state-of-phish.
Vous trouverez davantage d’informations sur les meilleures pratiques et formations en matière de sensibilisation à la cybersécurité, ici : https://www.proofpoint.com/fr/products/security-awareness-training
####
A propos de Proofpoint, Inc.
Proofpoint, Inc. (NASDAQ:PFPT) est une entreprise leader dans le domaine de la cybersécurité et de la conformité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris plus de la moitié des entreprises de l’index Fortune 1000, font confiance aux solutions de sécurité et de conformité de Proofpoint centrées sur les individus, pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d'informations, rendez-vous sur www.proofpoint.com
Restez en contact avec Proofpoint :
Twitter| LinkedIn | Facebook | YouTube | Google+