Pour lutter contre le phishing, signalement réactif et réponse rapide constituent deux atouts essentiels

0
266

Dans une étude menée auprès de 80 000 participants, un employé sur cinq est tombé dans le piège d’e-mails de phishing prétendant provenir des ressources humaines.

Tribune – Selon une nouvelle étude du fournisseur de cybersécurité F-Secure, les e-mails de phishing les plus redoutables sont ceux qui imitent les annonces de RH ou demandent de régler une facture.

Intitulée To Click or Not to Click: What we Learned from Phishing 80,000 People (en français : « Cliquer ou ne pas cliquer : les enseignements d’une étude de phishing ciblant 80 000 personnes »), cette étude a testé le comportement des employés de quatre entreprises, face à des e-mails simulant des attaques courantes de phishing. La recherche a porté sur 82 402 professionnels.

Les e-mails prétendant provenir des ressources humaines et évoquant les congés annuels ont donné lieu à 22 % de clics. Les faux e-mails des RH constituent ainsi, d’après cette étude, les attaques de phishing les plus redoutables.

Les e-mails demandant au destinataire de participer au règlement d’une facture (attaques surnommée « fraude au CEO » dans le rapport) arrivent en deuxième position, avec un taux de clic de 16%.

Les e-mails de partage de documents (notification d’un service d’hébergement de documents) et de notification de problème de services (message d’un service en ligne), à l’inverse, n’ont donné lieu respectivement qu’à 7% et 6% de clics : il s’agit donc, dans cette étude, des e-mails de phishing les moins trompeurs.

Selon Matthew Connor, Service Delivery Manager chez F-Secure et auteur principal du rapport, le résultat le plus marquant de cette étude concerne les professionnels occupant des fonctions « techniques » : contrairement à ce qui était attendu, ces utilisateurs semblent être tout aussi vulnérables aux tentatives de phishing que les autres employés, voire même davantage.

« Ces professionnels possèdent un accès privilégié à l’infrastructure de l’entreprise : ils constituent de ce fait des cibles privilégiées pour les pirates informatiques. Le fait qu’ils soient si sensibles au phishing est préoccupant », explique Matthew Connor. « Les enquêtes menées après l’étude ont révélé que ces professionnels sont davantage sensibilisés sur les tentatives de phishing. Le fait qu’ils cliquent aussi souvent ou plus souvent que les autres, malgré leur niveau de sensibilisation, révèle un défi important dans la lutte contre le phishing. »

Deux des organisations étudiées possédaient des équipes dédiées en informatique et en DevOps. Pour ces équipes, le pourcentage d’utilisateurs tombés dans le piège était égal ou supérieur à celui des autres services de l’entreprise. Pour la première organisation : 26% pour le département DevOps et 24% pour le département informatique, contre 25% en moyenne. Et pour la seconde : 30% pour le département DevOps et 21% pour le département informatique, contre 11% en moyenne.

Cette étude a également révélé que ces services techniques ne présentent pas non plus de meilleures performances au moment de signaler les tentatives de phishing. Dans la première organisation, les départements informatiques et DevOps arrivent en troisième et sixième position sur les neuf services de l’entreprise en termes de signalement. Dans la seconde organisation, le département DevOps arrive douzième sur dix-sept départements, et le département informatique n’atteint que la quinzième position.

Le rapport précise à quel point il est vital de disposer d’un processus de reporting rapide et facile à utiliser. Dans la première minute suivant l’arrivée de ces e-mails de test dans les boîtes de réception, le nombre d’utilisateurs piégés est trois fois supérieur au nombre de signalements. Après cinq minutes, ce rapport commence à s’équilibrer et, après 30 minutes, les signalements deviennent plus fréquents que les clics.

Les différents processus opérationnels au sein de chaque entreprise jouent un rôle-clé dans les résultats obtenus. Dans l’une d’elles, où tous les employés disposent d’un bouton pour signaler les e-mails suspects, 47% des e-mails de phishing du test ont été signalés. Dans deux autres des entreprises étudiées, seuls 13% et 12% des participants ont signalé ces e-mails (l’entreprise restante n’a pas fourni de données sur le signalement). 

Selon Riaan Naude, directeur du conseil chez F-Secure, face à de tels résultats, les entreprises doivent mobiliser leurs employés pour mener une lutte active contre le phishing.

« Les données de l’étude indiquent clairement que les processus de signalement rapides et faciles constituent un bon compromis dans la lutte contre le phishing. Ils permettent au personnel de sécurité de travailler main dans la main avec les autres équipes, pour améliorer la résilience globale de leur entreprise. Grâce à ces processus, une attaque de phishing peut être détectée et évitée plus rapidement. C’est essentiel car les équipes de sécurité n’ont parfois que quelques précieuses minutes pour neutraliser une attaque potentielle », explique Riian Naude.