Cette année, le rapport State of the Phish apporte un aperçu détaillé du risque réel tel qu’observé par Proofpoint, sur la base de plus de 18 millions de courriels signalés par les utilisateurs finaux, et environ 135 millions de simulations d’attaques d’hameçonnage envoyées sur une période d’un an. Le rapport examine également les perceptions de 7 500 employés et 1 050 professionnels de la sécurité dans 15 pays, dont la France, révélant des lacunes surprenantes dans la sensibilisation à la sécurité et le déficit d’hygiène stricte en matière de cybersécurité dans le monde réel.

« Bien que l’hameçonnage conventionnel continue d’être une activité couronnée de succès, de nombreux acteurs de la menace sont passés à de nouvelles techniques, telles que le “callback phishing” ou les approches par proxy comme celles impliquant un “adversary-in-the-middle” (AitM) qui permettent de contourner l’authentification multifactorielle. Ces techniques sont utilisées dans des attaques ciblées depuis des années, mais en 2022, elles se sont déployées à bien plus grande échelle », a déclaré Ryan Kalember, vice-président exécutif, Stratégie Cybersécurité, Proofpoint. « Nous avons également constaté une augmentation importante des campagnes d’hameçonnage plus sophistiquées, incluant plusieurs points d’entrées, et engageant les victimes dans des conversations plus longues, incluant plusieurs interlocuteurs fictifs. Qu’il s’agisse d’un groupe soutenu par un État-nation, ou d’un acteur BEC, beaucoup d’adversaires sont prêts à entrer dans un échange même de très longue haleine. »

Voici quelques-unes des principales conclusions du rapport cette année :

La cyber extorsion continue de faire des ravages
Parmi les organisations françaises interrogées, soixante-cinq pour cent ont été confrontées à une tentative d’attaque par rançongiciel au cours de l’année passée (un chiffre en deçà de la moyenne mondiale placée à 76 %) avec infection réussie dans 66 % des cas. Contrairement à la moyenne globale (44 %), près des deux tiers des organisations françaises (63 %) ont pu récupérer l’accès à leurs données après avoir payé une première rançon. Autre constat critique, plus des deux tiers des personnes interrogées ont déclaré que leur organisation avait subi plusieurs infections distinctes de ransomware.

La plupart des organisations infectées disent avoir payé la rançon exigée par les cybercriminels, et beaucoup l’ont fait plus d’une fois.

Parmi les organisations françaises touchées par des rançongiciels, l’écrasante majorité (94 %) avait adhéré à une police de cyber assurance dédiée à ce risque. Si la plupart des assureurs à travers le monde (82 %) se sont dit prêts à payer la rançon partiellement ou en totalité dans le cas d’une attaque avérée, c’est d’autant plus le cas sur le marché français (93 %) ; en revanche, les organisations françaises se montrent moins enclines à s’acquitter de cette rançon (53 % versus 64 % à l’échelle mondiale), une tendance à contrecourant vis-à-vis du reste du monde où la propension à payer a augmenté de 6 points depuis 2021.

Les utilisateurs finaux sont la proie de faux courriels « Microsoft »
En 2022, Proofpoint a observé près de 1 600 campagnes impliquant des détournements de marque dans sa clientèle mondiale. Alors que Microsoft était la marque la plus détournée avec plus de 30 millions de messages utilisant son image ou son logo, ou présentant un produit tel qu’Office ou OneDrive, d’autres entreprises comme Google, Amazon, DHL, Adobe et DocuSign subissent aussi l’usurpation et le détournement de leur marque. Mais avec les attaques AitM qui affichent la véritable page de connexion de l’organisation à l’utilisateur, dans de nombreux cas, liée à Microsoft 365, la marque est la plus détournée.

Compte tenu du volume d’attaques par usurpation de marque, il est quelque peu alarmant de constater qu’encore un tiers (34 %) des employés français interrogés estiment qu’un courriel est sûr lorsqu’il contient le nom d’une marque connue dans l’adresse, et que 63 % considèrent qu’une adresse de courriel correspond toujours au site web de la marque à laquelle il est rattaché. Il n’est pas surprenant de constater que la moitié des 10 modèles de simulation de phishing les plus utilisés par les clients de Proofpoint étaient liés à l’usurpation d’identité d’une marque, qui avait également tendance à avoir des taux d’échec élevés.

Compromission des courriels professionnels : la cyberfraude se mondialise
En France, 80 % des organisations sondées ont signalé une tentative d’attaque BEC l’année dernière, un chiffre supérieur à la moyenne mondiale, mais inférieur en comparaison de ses voisins directs. Alors que l’anglais est la langue la plus couramment utilisée, certains pays non anglophones commencent même à voir des volumes plus élevés d’attaques dans leur propre langue. Les attaques BEC ont été supérieures à la moyenne mondiale, ou ont connu une augmentation notable par rapport à 2021 :
• Pays-Bas 92 % (non inclus dans l’analyse précédente)
• Suède 92 % (non inclus dans l’analyse précédente)
• Espagne 90 % vs 77 % (augmentation de 13 points de pourcentage)
• Allemagne 86 % contre 75 % (augmentation de 11 points de pourcentage)
• France 80 % vs 75 % (augmentation de 5 points de pourcentage)

Le risque interne
La mobilité professionnelle liée à la pandémie, conjuguée à l’incertitude économique post-Covid, a donné lieu à un grand remaniement sur le marché de l’emploi, avec 14 % de salariés français qui auraient quitté ou changé de travail au cours des deux dernières années. Cette tendance rend la protection des données d’autant plus difficile pour les organisations, et 70 % des entreprises françaises sondées déclarent avoir subi une perte de données liée à une activité en interne (65 % à l’échelle mondiale). Parmi ceux qui ont changé d’emploi, près de la moitié (47 %) ont admis avoir emporté des données avec eux.

Les acteurs de la menace intensifient les stratégies par courriel plus complexes
Au cours de l’année écoulée, des centaines de milliers de messages de phishing, de « callback » et de contournement par téléphone (TOAD) d’authentification multifactorielle (MFA) ont été envoyés chaque jour, en nombre suffisant pour devenir une menace omniprésente pour presque toutes les organisations. À son point le plus haut, Proofpoint a suivi plus de 600 000 attaques TOAD par jour — ces courriels qui invitent leurs destinataires à engager une conversation directe avec leurs attaquants, par le biais du téléphone, via de faux « centres d’appels » — et ce nombre n’a cessé d’augmenter depuis la première application technique à la fin de 2021.

Les cybercriminels disposent désormais d’une gamme de méthodes pour contourner l’authentification multifactorielle, de nombreux fournisseurs de phishing en tant que service incluant déjà les outils AitM dans leurs kits de phishing prêts à l’emploi.

Améliorer l’hygiène cyber
Les acteurs de la menace innovent toujours et, une fois de plus, le rapport de cette année montre que la plupart des employés ont encore des lacunes en matière de sensibilisation à la sécurité. Même les cybermenaces de base ne sont toujours pas bien comprises : plus d’un tiers des répondants à l’enquête ne savent en effet pas définir les termes « logiciel malveillant », « hameçonnage » et « rançongiciel ».

Par ailleurs, en France 54 % des organisations se sont dotées d’un programme de sensibilisation à la sécurité qui forme l’ensemble de leurs collaborateurs, et seulement 30 % effectuent des simulations d’attaque d’hameçonnage ciblées, deux éléments pourtant essentiels à la mise en place d’un programme efficace de sensibilisation à la cybersécurité.

« Les lacunes en matière de sensibilisation et les comportements laxistes en matière de sécurité créent un risque substantiel pour les organisations et leurs données », a déclaré Loïc Guézo, Directeur de la Stratégie Cybersécurité, Proofpoint. « Comme le courriel reste la méthode d’attaque préférée des cybercriminels et qu’ils se diversifient vers des techniques beaucoup moins reconnaissables par leurs victimes, il est clairement utile de créer une culture de la sécurité qui s’étend à l’ensemble des collaborateurs, à tous les niveaux de l’entreprise. »