Alors que l’Anssi publie aujourd’hui son Panorama de la menace, notant une augmentation de 30% des cyberattaques visant à dérober les données des Français, l’enquête annuelle de Proofpoint, State of the Phish 2024 présente des conclusions édifiantes quant aux risques pris par les Français eux-mêmes.

Cette dixième édition du rapport annuel State of the Phish de Proofpoint révèle que plus des trois quarts (75 %) des salariés français mettent sciemment leur organisation en danger, entraînant une multiplication des risques d’infections par rançongiciel ou logiciels malveillants, un accroissement des cas de violation de données, et des pertes financières plus grandes.

Et si en France les cas de campagnes d’hameçonnage réussies ont légèrement diminué (66 % des organisations interrogées ont subi au moins une attaque réussie en 2023 contre 86 % l’année précédente), la France se démarque par l’augmentation substantielle des sanctions financières notamment imposées par les législateurs (+320 % contre 144 % en moyenne dans le monde) et par les atteintes à la réputation de l’entreprise (+166 % en France contre une augmentation moyenne de 50 % dans le reste du monde).

Le rapport 2024 souligne aussi que les comportements à risque ne sont pas nécessairement dus à un manque de connaissances en matière de cybersécurité, mais à l’écart qui existe entre les limites des technologies de sécurité individuelle et la formation des utilisateurs. Si les professionnels de la sécurité estiment que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils ont dans la protection de leur organisation, il semble que la sensibilisation à la sécurité ne soit pas suffisante pour prévenir complètement ces comportements dangereux.

« Les cybercriminels savent qu’un individu peut être facilement trompé, que ce soit par négligence, à travers la compromission d’identité ou, dans certains cas, par appât du gain », a déclaré Ryan Kalember, directeur de la stratégie chez Proofpoint. « Les utilisateurs jouent un rôle central dans la posture de sécurité de l’organisation, 74 % des violations étant encore centrées sur l’humain. Bien qu’il soit important de renforcer la culture de sécurité de l’entreprise, la formation à elle seule n’est pas une solution miracle. Il y a une différence notoire entre la parole et l’action : le défi n’est plus seulement la sensibilisation, mais aussi le changement de comportement. »

Le rapport State of the Phish de cette année apporte un aperçu détaillé du paysage actuel de la menace cyber, dans lesquelles l’IA générative, les QR codes et l’authentification multifactorielle (MFA) sont utilisés de manière abusive par des acteurs malveillants, comme en témoignent les données de télémétrie internes. En effet, Proofpoint a analysé plus de 2,8 milliards de courriers électroniques dans 230 000 organisations à travers le monde, ainsi que les résultats de 183 millions de simulations d’attaques par hameçonnage au cours des douze derniers mois.

Les principales conclusions du rapport State of the Phish 2024 pour la France sont les suivantes :

Les collaborateurs n’exposent pas leur entreprise aux cyberattaques par manque de sensibilisation : 79 % des sondés français ont admis avoir pris des mesures risquées, telles que la réutilisation ou le partage d’un mot de passe, le fait de cliquer sur des liens provenant d’expéditeurs inconnus, ou en communiquant leurs informations d’identification à une source non fiable. Parmi eux, 95 % l’ont fait en connaissance des risques inhérents à la sécurité, ce qui signifie que 75 % des salariés français interrogés ont volontairement porté atteinte à la sécurité de leur entreprise. Les objectifs derrière les actions risquées sont variés, la plupart des sondés citant la commodité (43 %), le désir de gagner du temps (36 %) et le sentiment d’urgence (29 %) comme principales motivations.

Un écart entre les équipes informatiques et le reste de l’organisation empêche un réel changement de comportement : alors que 79 % des professionnels français de la sécurité interrogés déclarent que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils portent quant à la sécurité de l’entreprise, 64 % des employés interrogés n’en sont pas sûrs ou affirment qu’ils ne sont pas du tout responsables. Et même si la quasi-totalité des employés qui ont pris des mesures risquées connaissait les risques (95 %) — ce qui indique clairement que la formation en matière de sécurité contribue à sensibiliser les employés — il existe de nettes disparités entre la vision des professionnels de la sécurité et celle des autres collaborateurs, pour créer un véritable changement de comportement à l’échelle de l’entreprise. En France, les professionnels de la sécurité estiment que plus de formation (76 %) et des contrôles plus stricts (80 %) sont la solution, mais presque tous les employés interrogés (94 %) ont déclaré qu’ils donneraient la priorité à la sécurité si les contrôles étaient simplifiés et plus conviviaux. 

La MFA continue de donner un faux sentiment de sécurité : plus d’un million d’attaques sont lancées chaque mois à l’aide d’EvilProxy, un système de contournement de la MFA. Pourtant, il est inquiétant de constater que 91 % des professionnels français de la sécurité pensent encore que la MFA offre une protection complète contre la prise de contrôle d’un compte.

L’IA booste les attaques par compromission d’identité (BEC) : en France, 62 % des organisations interrogées ont été la cible d’attaques BEC (Business Email Compromise) en 2023, un chiffre en baisse par rapport à l’année précédente où le pourcentage était de 80 %. Dans l’ensemble, il y a eu moins de signalements de tentatives de fraude par courriel au niveau mondial, mais certains pays ont connu une augmentation du volume d’attaques, comme le Japon (+35 %), la Corée du Sud (+31 %) et les Émirats Arabes Unis (+29 %). Ces pays ont peut-être été moins touchés par les attaques BEC dans le passé en raison de barrières culturelles ou linguistiques, mais l’utilisation de l’IA générative permet aux attaquants de créer des courriels plus convaincants et personnalisés dans plusieurs langues. En moyenne, Proofpoint détecte 66 millions d’attaques BEC ciblées chaque mois.

La cyber extorsion reste une forme d’attaque lucrative et le paiement de rançon ne garantit pas la récupération complète des données : 70 % des organisations françaises interrogées ont été infectées par un rançongiciel au cours de l’année écoulée (soit une augmentation de 6 points de pourcentage d’une année sur l’autre) ; de manière alarmante, 63 % des professionnels français de l’informatique ont déclaré que leur organisation avait été infectée par plusieurs rançongiciels distincts. Parmi les organisations touchées en France, 30 % ont accepté de payer les attaquants (contre 54 % en moyenne dans le monde), et seuls 47 % ont retrouvé l’accès complet à leurs données après un seul paiement (contre 63 % il y a un an).

Les attaques par téléphone (TOAD) continuent de proliférer : bien qu’apparaissant initialement comme un message innocent, ne contenant rien de plus qu’un numéro de téléphone et quelques informations erronées, la chaîne d’attaque est activée lorsqu’un collaborateur peu méfiant appelle un centre d’appel frauduleux, fournissant ses informations d’identification ou accordant un accès à distance à des acteurs malveillants. Proofpoint détecte en moyenne 10 millions d’attaques TOAD par mois, avec un pic récent en août 2023, avec 13 millions d’incidents.

Malgré l’importance et la sophistication croissante des menaces telles que les rançongiciels, les TOAD et les contournements de MFA, de nombreuses organisations ne sont pas suffisamment préparées ou formées pour y faire face. Seuls 16 % des organisations françaises interrogées forment leurs utilisateurs à la reconnaissance et à la prévention des attaques TOAD, et seulement 25 % à la sécurité de l’IA générative.

Pour télécharger le rapport State of the Phish 2024 : proofpoint.com/us/resources/threat-reports/state-of-phish.