Phishing : KnowBe4 publie son rapport pour le 1er trimestre 2025. Les objets d’e-mails liés à des sujets internes à une entreprise arrivent en tête. Les e-mails les plus trompeurs révèlent une vulnérabilité majeure des employés face aux communications internes, responsables de 60 % des échecs aux simulations de phishing.
Tribune – KnowBe4, la plateforme de cybersécurité mondialement reconnue spécialisée dans la gestion des risques humains, publie son rapport sur le phishing pour le 1er trimestre 2025. Cette étude qui a identifié les objets d’e-mail de phishing les plus souvent cliqués par les utilisateurs lors des simulations, montre que les messages relatifs aux ressources humaines (RH) et aux services informatiques (IT) représentent plus de 60 % des échecs observés. Les données analysées proviennent de la plateforme HRM+ de KnowBe4, collectées entre le 1er janvier et le 31 mars 2025.
Selon le rapport, l’usurpation de communications internes, en particulier celles émanant des RH ou du service IT, reste la technique la plus efficace : 60,7 % des clics enregistrés concernaient des équipes internes et 49,7 % mentionnaient directement le département RH.
En dépit de l’évolution constante des méthodes utilisées par les cybercriminels, les e-mails de phishing demeurent l’un des vecteurs d’attaque les plus répandus. Les attaquants exploitent les émotions humaines, en créant des messages paraissant authentiques et urgents, pour inciter les utilisateurs à cliquer sur des liens malveillants ou ouvrir des pièces jointes piégées. Parmi les objets les plus fréquemment signalés figurent des « liens Zoom » envoyés par des managers, des rappels de formation RH et des alertes sur des serveurs de messagerie.
Le rapport souligne également que les liens de phishing intégrés dans les e-mails restent une menace majeure :
- 61,6 % des utilisateurs cliquent sur des liens liés à des communications internes ou à des marques connues, et
- 68,6 % des tentatives utilisent la technique du spoofing de domaine. Les pages de phishing imitant Microsoft, LinkedIn et Google sont les plus efficaces pour la collecte d’identifiants.
Autre tendance inquiétante : l’usage de codes QR malveillants. Les trois principales campagnes de simulation ayant piégé les utilisateurs concernaient :
- une nouvelle politique RH sur la drogue et l’alcool (14,7 %),
- une signature électronique DocuSign (13,7 %) et
- un message d’anniversaire professionnel (12,7 %).
S’agissant des campagnes par pièces jointes, les documents PDF restent les plus ouverts (53 %), devant les fichiers HTML (28,5 %) et Word (18,5 %).
« Les cybercriminels savent que les employés réagissent instinctivement aux messages émanant des RH ou du service IT, et qu’ils font confiance aux marques qu’ils utilisent quotidiennement, telles que Microsoft, LinkedIn ou Google », explique Stu Sjouwerman, PDG de KnowBe4.« Cette sophistication psychologique démontre que la gestion du risque humain doit être au cœur de toute stratégie de cybersécurité. Les organisations doivent instaurer une véritable culture de la sécurité, en encourageant la vérification systématique des messages, même lorsqu’ils semblent provenir de départements clés ou de la direction. »
