Hameçonnage et rançongiciels ont été les deux mamelles de la cyberdélinquance en 2020. Dans son septième rapport annuel State of the Phish, Proofpoint explore les expériences des entreprises en matière d’hameçonnage et évalue le niveau de sensibilisation, de vulnérabilité et de résilience des utilisateurs. Selon ses chiffres, plus de 75 % des professionnels de la sécurité interrogés à travers le monde ont déclaré que leur organisation a été confrontée à des attaques d’hameçonnage majeures en 2020, réussies ou non, et 66 % ont quant à eux été la cible d’attaques de ransomware.

Parmi les conclusions alarmantes du rapport : les organisations françaises ont du mal à mettre en œuvre des programmes de formation en cybersécurité, réellement adaptés aux menaces spécifiques auxquelles elles sont confrontées. Seuls 38 % des professionnels de la cybersécurité français font en effet l’effort d’adapter leurs programmes de sensibilisation, contre 53 % en moyenne dans le monde.

Un modèle coercitif pour les fautifs

Quant aux mesures de coercition pour les employés compromis,43 % des organisations françaises utilisent un modèle de réprimande. C’est-à-dire que des sanctions sont appliquées aux utilisateurs qui se font piéger à plusieurs reprises par des attaques d’hameçonnage réelles ou simulées (contre 55 % en moyenne dans le monde). Les principales conséquences pour les récidivistes sont un avertissement de la part de leur responsable (65 %), un avertissement de la part de l’équipe de sécurité informatique (60 %) et une incidence sur les évaluations annuelles des performances (42 %). « Il est surprenant de constater que le taux de licenciement a atteint 26 %, soit plus que la moyenne mondiale s’établissant à 20 % », remarque le rapport.

Bonne nouvelle, les employés français sont les plus avertis en matière de smishing (hameçonnage par SMS), 60 % d’entre eux étant capable de bien définir ce terme (contre seulement 31 % à l’échelle mondiale). Si elle tend à se développer, cette pratique reste néanmoins un peu moins fréquente en France que dans les autres régions du monde : 47 % des répondants français ont en effet déclaré que leur entreprise avait été confrontée à des campagnes de smishing en 2020, contre 60 % en moyenne dans le monde.

Des lacunes dans la formation à la cybersécurité

Autre bonne nouvelle, les employés français sont également bien sensibilisés au vishing (hameçonnage par téléphone), 54 % d’entre eux étant capable de bien définir ce terme. À titre de comparaison, seuls 18 % des employés allemands ont relevé ce défi avec succès. Encore une fois, la France semble plus épargnée par cette menace que le reste du monde. Seuls 29 % des répondants français ont en effet déclaré que leur entreprise avait été confrontée à des escroqueries par téléphone en 2020, bien en dessous de la moyenne mondiale à 54 %.

« Les conclusions relatives aux conditions de télétravail en France sont troublantes, déclare Loïc Guézo, directeur stratégie cybersécurité EMEA chez Proofpoint. Plus de 3 organisations sur 4 ont déclaré soutenir un nouveau modèle de travail à distance, mais à peine 39 % forment leurs employés aux pratiques de sécurité dans de telles conditions. Ce sont pourtant ces mêmes utilisateurs qui peuvent avoir des comportements à risque et, par exemple, permettre à leurs amis et à leur famille d’accéder à des appareils professionnels pour faire des achats ou jouer à des jeux en ligne. Ces lacunes représentent un risque inquiétant et renforcent la nécessité d’initiatives de sensibilisation à la sécurité adaptées au télétravail ».

À propose de l’enquête

State of the Phish analyse les réponses d’une enquête mondiale indépendante menée auprès de plus de 600 professionnels de la sécurité de l’information en France, en Allemagne, en Espagne, aux États-Unis, en Australie, au Royaume-Uni et au Japon. Il met également en lumière les connaissances en matière de cybersécurité de 3 500 employés actifs qui ont été interrogés dans ces sept mêmes pays. Enfin, il intègre l’analyse des données de plus de 60 millions d’attaques d’hameçonnage simulées envoyées par les clients de Proofpoint à leurs employés sur une période d’un an, ainsi que 15 millions d’emails signalés par les utilisateurs via le bouton de signalement PhishAlarm.