Utilisant cette année une arnaque à la carte-cadeau, très souvent offerte par l’entreprise en fin d’année à ses collaborateurs, le mail d’hameçonnage reproduisait le design graphique de grandes enseignes, ce qui pouvait semer le doute. Ce modèle a été choisi pour sa fréquence dans le paysage des cybermenaces et comme illustration du premier levier employé par les cyberattaquants : l’ingénierie sociale.

« Les cybermenaces continuent de faire la une des journaux dans le monde entier. Il est important de considérer qu’en fonction du contexte, chaque tentative d’arnaque par hameçonnage peut convaincre un certain nombre d’utilisateurs de cliquer. Il y a encore beaucoup de travail à faire pour aider les organisations à créer et à développer une culture centrée de la sécurité », déclare Theo Zafirakos, RSSI chez Terranova Security par Fortra. « Comme le montre également le Rapport d’analyse comparative sur l’hameçonnage, il est difficile pour certaines organisations, en particulier celles avec un nombre d’employés important, d’éduquer leur personnel et de renforcer les meilleures pratiques en matière de cybersécurité. Et plus particulièrement dans un contexte de travail à distance. »

Gone Phishing Tournament 2022 : les résultats clés

Séduits par l’idée de gagner une carte cadeau, 7 % des 1,2 millions de personnes ciblées par la campagne de simulation ont cliqué sur le lien contenu dans l’e-mail, exposant ainsi l’entreprise à des failles potentielles de sécurité. Et 3 % des utilisateurs ont également partagé leurs informations personnelles. Un chiffre toujours trop important (environ 36 000 personnes), avec un ratio clic/complétion du formulation à 44 % qui laisse entrevoir un besoin toujours plus important d’acculturer les collaborateurs aux risques réels et quotidiens auxquels ils sont exposés. L’arnaque à la carte-cadeau est un exemple concret et réaliste de menaces de plus en plus fréquentes.
Pour mettre ces chiffres en perspective, si une entreprise de 10 000 employés avait été la cible d’une attaque d’hameçonnage semblable à celle présentée dans le cadre de la simulation, 700 personnes auraient cliqué sur le lien du courriel, et 308 d’entre elles auraient compromis des informations sensibles en les partageant dans le formulaire Web.
Il est intéressant de regarder de plus près ces résultats par taille et secteur d’entreprise. Sur la taille de l’entreprise, a contrario des idées reçues, ce sont les TPE et PME (0-499 personnes) qui ont été les plus alertes sur les risques, avec un ratio de clics compris entre 3,6 % et 4,9 %. A l’inverse, les grands groupes, davantage équipés sur le plan technologique et ayant de sérieux dispositifs de sécurité de l’information enregistrent des taux de clics bien plus élevés, compris entre 6,3 % et 6,9 % pour le segment 3000 – 10 000 employés. Un chiffre qui prouve qu’outre les moyens techniques et humains employés pour se protéger des cyberattaques, il est indispensable de penser la cybersécurité comme une composante forte de la culture de l’entreprise, à ancrer et développer chaque jour.

Du côté des secteurs d’entreprise, les classements sont plutôt proches de ceux de l’édition 2021 comme plus généralement de ce qui peut être constaté en regardant les unes des journaux : les secteurs de l’éducation, de l’industrie, de l’agro-alimentaire et des produits de consommation sont ceux qui ont le plus haut taux de clics et de complétion du formulaire (40 % en moyenne) quand les secteurs de la finance ou de l’énergie se maintiennent eux parmi les industries les plus sensibilisées aux risques cybers.

« Les résultats du tournoi Gone Phishing Tournament de cette année soulignent l’importance d’adopter une approche centrée sur l’humain pour la formation comme la création des contenus de sensibilisation à la sécurité », déclare Brand Koeller, Principal Product Manager, Microsoft Defender. « Les mesures de protection technologiques ne peuvent à elles seules garantir la sécurité des informations. Aborder le facteur de risque humain devrait être une priorité absolue pour toutes les organisations. »

Enfin, la surprise est créée par grande région mondiale où à l’opposé de 2021, l’Europe se hisse à la première place du classement des « meilleures performances », avec un taux de clics de 5,2 % et un taux de partage de données personnelles à 1,9 %. L’Amérique du Nord occupe la deuxième place quand les régions d’Amérique Centrale et Latine rivalisent avec la région APAC comme les régions les plus exposées aux attaques usant de l’appel promotionnel de la carte cadeau et autres gains, cadeaux. La question de la culture des pays se pose évidemment ici, mais pour ne pas vivre ce type de scenarii de compromission dans la « vraie vie », il est impératif d’inclure aussi ces types d’attaques aux formations, simulations et bonnes pratiques données aux collaborateurs.

Méthodologie de l’enquête
Le Gone Phishing Tournament s’est tenu du 17 au 28 octobre 2022. Pendant tout le processus, Terranova Security a opéré avec les contrôles de sécurité des données de sa plateforme de sensibilisation à la cybersécurité.
Si les utilisateurs cliquaient sur le lien dans le courriel de simulation d’hameçonnage, ils étaient redirigés vers une page de renvoi les invitant à saisir des informations d’identification qui, si la simulation avait été une attaque réelle, auraient été compromises. Les utilisateurs ayant complété cette deuxième étape recevaient alors une page de rétroaction présentant les indices qui auraient dû être repérés ainsi que les bonnes pratiques qui auraient dû être respectées face à une telle situation.

Microsoft a fourni les modèles de courriel et de page Web utilisés cette année. Le scénario reproduisait une situation réaliste avec laquelle tous les utilisateurs sont familiers : l’arnaque de la carte-cadeau, offerte par l’entreprise en fin d’année. Sélectionné par l’équipe de direction de Terranova Secuurity, ce modèle de courriel permet d’évaluer plusieurs comportements, dont ceux de cliquer sur un lien dans un courriel d’hameçonnage, et de saisir ses données d’identification dans un formulaire sur une fausse page Web. Le courriel et la page Web ont été conçus pour imiter en tous points l’apparence d’une des nombreuses offres de carte-cadeau transmises par courriel. Le message dans le courriel indiquait que la carte-cadeau serait livrée une fois que le bénéficiaire aurait rempli un court formulaire d’information.