Un sérieux déficit de culture et de cyberhygiène dans les organisations face au phishing

Le rapport indique qu’en 2022, plus de huit organisations françaises sur dix (86 %) ont connu au moins une tentative de phishing réussie avec pour conséquence des pertes financières directes pour 19% des cas. Les lacunes des employés en matière de cybersécurité en seraient-elles la cause aggravante ?

Proofpoint observe en tous cas que les professionnels sont nombreux à être victimes de faux courriels, en majorité estampillés « Microsoft ». Dans les 1 600 campagnes impliquant des détournements de marque dans sa clientèle mondiale, Microsoft a été, en 2022, la marque la plus détournée loin devant d’autres comme Amazon (6,5 millions), Docusign, Google, DHL ou encore Adobe. Plus de 30 millions de messages frauduleux ont utilisé son image ou son logo ou présenté un produit tel qu’Office ou OneDrive.

« Les [cyber] attaquants savent très bien que les employés ont l’habitude d’utiliser les produits de certaines marques. Beaucoup d’entreprises se servent de la suite d’outils de Microsoft et recevoir un e-mail de Microsoft ne les surprend pas », explique Davide Canali, directeur de la threat research chez Proofpoint. L’enquête le montre également : près de la moitié des sondés pensent qu’un e-mail qui contient un logo ou le nom d’une marque familière est un message sûr. Les collaborateurs français semblent cependant plus matures à ce niveau puisqu’un tiers seulement le croit.

Un risque interne important

La connaissance de la terminologie des menaces n’évolue pas non plus sensiblement par rapport à l’année précédente, les employés ne semblant pas s’y intéresser outre mesure. « Des menaces très communes ne sont toujours pas bien comprises au sein des organisations. Par exemple la compréhension du terme phishing reste inférieur à 60%, souligne Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint.

Les mots un peu plus complexes comme rançongiciel ou smishing et vishing (voice phishing) sont compris par 40% des employés pour le premier et par moins d’un tiers pour les deux autres. « On peut se demander pourquoi les collaborateurs sont relativement passifs et ne développent pas cet intérêt et cette connaissance de la terminologie des menaces les plus connues », déclare Loïc Guézo.

Le rapport pointe d’ailleurs l’insider threat (la menace interne). « La mobilité professionnelle et les nouvelles organisations liées à la pandémie ont provoqué de gros mouvements sur le marché de l’emploi, note Loïc Guézo. Typiquement pour la France, 14% de salariés français auraient quitté leur travail ou changé de job sur les deux dernières années. Cette tendance rend beaucoup plus difficile la gestion des activités internes pour les organisations, afin d’éviter que les employés ne partent avec des données confidentielles. Selon l’étude, quasiment un [employé] sur deux admet avoir emporté des données en quittant son employeur », précise-t-il. 70% des pertes de données sont d’ailleurs provoquées par un insider.

Le rapport met en lumière la méconnaissance des cyber-risques et les comportements à risque des employés. Par exemple, à peine un tiers d’entre eux savent que leur entreprise ne peut pas bloquer automatiquement tous les e-mails frauduleux. 78% utilisent leur ordinateur professionnel à des fins personnelles et 48% laissent amis et famille s’en servir. Parmi eux, 3% n’ont aucune idée de ce qu’ils en font. Et en 2022, un tiers des salariés ont effectué une action dangereuse comme cliquer sur un lien, charger un malware via un smish, communiquer une information personnelle à un fraudeur etc.

Améliorer l’hygiène cyber

« Comme le courriel reste la méthode d’attaque préférée des cybercriminels et qu’ils diversifient leurs techniques, qui sont beaucoup moins reconnaissables par leurs victimes, il est clairement utile de créer une culture de la sécurité qui s’étende à l’ensemble des collaborateurs à tous les niveaux de l’entreprise », estime Loïc Guézo.

Or d’après le rapport de Proofpoint, à peine 54% des organisations en France se sont dotées d’un programme de sensibilisation à la sécurité qui forme l’ensemble de leurs collaborateurs. Et seules 30% d’entre elles effectuent des simulations de phishing ciblées malgré l’augmentation de la cybermenace.