Le phishing et les faux courriels sont le plus gros problème de sécurité pour les entreprises et l’un des plus difficiles à résoudre. Selon la Cyber Security Breaches Survey de 2019 publiée par le gouvernement britannique, les cyberattaques les plus courantes sont les attaques par hameçonnage, qu’il s’agisse de courriels frauduleux ou de fausses adresses de sites Web.
Les courriels de phishing – grâce auxquelles les attaquants se font passer pour des collègues de confiance ou d’autres contacts afin de tromper la victime et obtenir mots de passe ou autres détails – sont faciles à envoyer et difficiles à combattre.
Contrôles techniques et bonne sensibilisation du personnel requis
Bon nombre des plus importantes atteintes à la protection des données au cours des dernières années – de l’attaque contre Sony Pictures au piratage du Comité national démocrate en passant par diverses attaques contre des banques – ont toutes commencé par des courriels de phishing.
« La protection contre ce type d’infractions ou d’attaques nécessite à la fois des contrôles techniques et une bonne sensibilisation du personnel. Cela inclut le personnel non spécialisé, qui sont généralement ceux directement visés par les attaques de phishing » indique le rapport.
Comme les années précédentes, les attaques sophistiquées et techniques, comme le déni de service, sont relativement moins fréquentes, observe l’étude. La proportion d’organisations se plaignant d’attaques de virus, de logiciels espions ou d’autres logiciels malveillants a également diminué.
Ces résultats suggèrent que ce type d’activité devient moins courant ou moins visible, même si les auteurs notent que les attaques par déni de service sont plus susceptibles de toucher les entreprises de communication et d’éducation, ainsi que les grandes entreprises en général.
En plus d’être les attaques les plus courantes, les tentatives de phishing ont également été considérées comme les infractions ou attaques pour lesquelles l’impact est le plus important. Selon le rapport, lorsqu’une brèche a entraîné une perte de données ou de biens, le coût moyen d’une cyberattaque sur une entreprise a augmenté de plus de 1 000 £ depuis 2018 pour atteindre 4 180 £.
L’étude de sécurité constate également que – comme les années précédentes – l’intrusion ou l’attaque la plus impactante était plus susceptible d’être repérée par les salariés, plutôt que d’être détectée par un logiciel de cybersécurité.
Moins d’entreprises signalent des attaques
Dans 63% des entreprises et 70% des organismes de bienfaisance, les atteintes les plus perturbatrices ont été signalées directement par le personnel, des prestataires ou des bénévoles. « Cela illustre l’importance de la vigilance du personnel, ainsi que des contrôles techniques, pour identifier rapidement les infractions » souligne le rapport.
L’étude peut également suggérer que les entreprises dépensent très peu pour la cybersécurité ; le rapport fait état de grandes variations dans le montant que les entreprises consacrent à la sécurité. Et les analystes préviennent que seulement 2% environ des budgets informatiques sont alloués à la sécurité.
Le rapport indique que si l’organisation type ne sera probablement confrontée qu’à une poignée d’infractions par an, certaines en connaîtront bien plus. Ceci, conjugué à la réduction globale du nombre d’attaques signalées, suggère que les attaquants sont en train de changer leur approche.
« Les attaquants ciblent peut-être moins d’entreprises, mais ils s’attaquent peut-être à celles-ci plus fréquemment ou de façon plus substantielle » préviennent les chercheurs. Selon le rapport, 32% des entreprises britanniques ont identifié une attaque de cybersécurité au cours des 12 derniers mois, contre 43% l’année précédente.
Ces chiffres pourraient suggérer que si moins d’entreprises signalent des atteintes de sécurité, c’est parce qu’elles sont plus sûres. Mais pour le rapport, il y a aussi d’autres explications. Comme nous l’avons mentionné, il est possible que les attaquants modifient leur comportement et qu’un plus grand nombre d’attaques se concentrent sur un éventail plus restreint d’entreprises.
Cela peut expliquer pourquoi le nombre d’entreprises qui identifient les violations a diminué. D’ailleurs, le nombre d’attaques signalées par les entreprises qui les identifient est en hausse. Cette situation pourrait également être due à l’introduction du règlement général sur la protection des données (RGPD) en mai 2018.
« Le RGPD pourrait avoir changé ce que les entreprises considèrent comme une brèche, ou avoir conduit certaines entreprises à être moins disposées à admettre qu’il y a eu des brèches dans la cybersécurité » prévient l’étude.