Selon des estimations, près de 91% de toutes les cyberattaques commencent par un email de phishing, et les techniques de phishing sont impliquées dans 32% de toutes les failles de données à succès.

Pour apporter des informations complémentaires sur cette menace, Kaspersky a analysé les données collectées dans un simulateur de phishing, fournies volontairement par les utilisateurs. Intégré dans Kaspersky Security Awareness Plateform, cet outil aide les entreprises à vérifier que leurs équipes peuvent distinguer un email de phishing d’un e-mail authentique, afin de ne pas mettre à risque les données de l’entreprise. L’administrateur choisit parmi l’ensemble des modèles, imitant les scénarios de phishing courants, ou crée un modèle personnalisé, puis l’envoie aux collaborateurs sans les avertir au préalable et suit les résultats. Malheureusement, les résultats révèlent qu’un grand nombre d’employés tombent dans le piège et cliquent sur le lien présent dans l’email, ce qui souligne la nécessité de formations complémentaires de sensibilisation à la cybersécurité.

Selon de récentes campagnes de simulation de phishing, les 5 types d’emails de phishing les plus efficaces sont :

Objet : Erreur de tentative d’envoi – malheureusement, notre coursier n’a pas pu livrer votre article. Expéditeur : Service de livraison de colis. Taux de conversion de clics : 18,5%

Objet : Emails non transmis pour cause de serveurs mails surchargés. Expéditeur : L’équipe support de Google. Taux de conversion de clics : 18%

Objet : Enquête en ligne auprès des employés : ce que vous aimeriez améliorer au sein de l’entreprise. Expéditeur : département RH. Taux de conversion de clics : 18%

Objet : Rappel : nouveau dress-code interne. Expéditeur : ressources humaines. Taux de conversions de clics : 17,5%

Objet : Attention à tous les salariés : nouveau plan d’évacuation du bâtiment. Expéditeur : département sécurité. Taux de conversion de clics : 16%

Parmi les autres emails ayant engendré un fort taux de clics, on retrouve : des confirmations envoyées de la part de services de réservation (11%), une notification à propos d’une commande (11%) et une annonce de jeu concours IKEA (10%).

En revanche, les courriels qui menacent le destinataire ou offrent des avantages immédiats semblent avoir moins de "succès". Un modèle ayant pour objet "J’ai piraté votre ordinateur et je connais votre historique de recherche" a obtenu 2 % de clics, tandis que les offres pour obtenir Netflix gratuitement et pour obtenir 1 000 dollars en cliquant sur un lien n’ont trompé que 1 % des employés.

« Les simulations de phishing sont parmi les moyens les plus efficaces de tester la cyber-résilience des salariés, et d’évaluer l’efficacité de leur formation en cybersécurité. Cependant, certains aspects importants doivent être pris en compte lors de la réalisation de cette évaluation pour qu’elle ait un réel impact », commente Elena Molchanova, Directrice du Business Développement pour la Sensibilisation à la Sécurité chez Kaspersky. « Les méthodes employées par les cybercriminels évoluant constamment, la simulation doit inclure les dernières tendances d’ingénierie sociale, ainsi que des scénarios communs de cybercrime. Il est très important de mener régulièrement des simulations d’attaque et de les compléter par la formation adéquate – ainsi, les utilisateurs développeront des fortes capacités de vigilance qui leur permettront d’éviter d’être victimes d’attaques ciblées, aussi appelées spear-phishing ».

Pour prévenir les fuites de données, et toutes les pertes financières, ou de réputation causées par des attaques de phishing (ou hameçonnage), Kaspersky fait les recommandations suivantes aux entreprises :

Rappelez à vos employés les signes fondamentaux des e-mails de phishing. Un objet de mail dramatique, des erreurs et des fautes de frappe, des adresses d’expéditeur incohérentes et des liens suspects ;

En cas de doute sur le courriel reçu, vérifiez le format des pièces jointes avant de les ouvrir et l’exactitude des liens avant de cliquer. Pour ce faire, survolez ces éléments - assurez-vous que l’adresse semble authentique et que les fichiers joints ne sont pas dans un format exécutable ;

Signalez toujours les attaques de phishing. Si vous repérez une attaque de phishing, signalez-la à votre service de sécurité informatique et, si possible, évitez d’ouvrir le courriel malveillant. Cela permettra à votre équipe de cybersécurité de reconfigurer les politiques anti-spam et d’éviter un incident ;

Fournissez à vos employés des connaissances de base en matière de cybersécurité. L’éducation doit viser à modifier le comportement des apprenants et leur apprendre à faire face aux menaces. En tant que fournisseur majeur de cybersécurité, Kaspersky dispose d’une base d’informations pertinente sur les attaques réelles et complète en permanence ses formations de sensibilisation à la sécurité en fonction du paysage actuel des menaces.

Comme les tentatives de phishing peuvent être déroutantes et qu’il n’y a aucune garantie d’éviter tous les clics accidentels, protégez vos appareils de travail avec une sécurité fiable. Choisissez une solution qui offre des fonctionnalités anti-spam, qui suit les comportements suspects et qui crée une copie de sauvegarde de vos fichiers en cas d’attaque par ransomware. La protection contre le phishing est incluse dans certaines solutions de sécurité, même pour les petites et très petites entreprises, comme Kaspersky Small Office Security.