À propos de ce blog

Thèmes Populaires

Les résultats d’une étude de phishing à grande échelle

Amon Francoise Koutoua

01.02.22 5 min de lecture

Dans le secteur de la sécurité, il existe de nombreuses idées reçues concernant les attaques de phishing par e-mail. F-Secure a voulu confronter ces clichés à des données concrètes. Pour ce faire, nous avons mené une étude auprès de 82 402 professionnels travaillant pour quatre entreprises différentes. À chacun d’entre eux, nous avons envoyé l’un des quatre e-mails de phishing que nous avions préparé. Une partie de ces utilisateurs s’est laissée piégée : ils ont cliqué sur les liens proposés. Nous leur avons posé quelques questions et avons interprété les résultats.

Les résultats de l’étude sont venus confirmer quelques idées reçues. Sans grande surprise, les faux e-mails des RH au sujet des congés payés ont été les plus efficaces. D’autres résultats de cette étude, à l’inverse, sont plus inattendus, notamment celui-ci : les professionnels travaillant dans le secteur informatique sont tout aussi enclins à tomber dans le piège du phishing que les autres employés de l’entreprise.

 

Deux des entreprises étudiées possédaient des départements IT et DevOps. Dans la première, ces départements pourtant considérés comme « techniques » étaient tout aussi vulnérables à nos e-mails de phishing que les autres départements de l’entreprise : 26 % de clics dans le département DevOps, 24 % dans le département informatique et 25 % pour l’ensemble de l’entreprise. Dans la seconde entreprise, en revanche, ces départements techniques se sont montrés beaucoup plus sensibles que la moyenne de l’entreprise : 30 % de clics dans le département DevOps, 21 % dans le département informatique, avec un taux global de 11 % au sein de l’entreprise.

Autre résultat marquant : ces professionnels du secteur technique ne se sont pas montrés plus performants que les autres employés au moment de signaler nos e-mails comme suspects. Dans l’une des deux entreprises susmentionnées, l’équipe informatique est arrivée en troisième position sur neuf départements, et l’équipe DevOps en sixième position.  Dans l’autre entreprise, le département DevOps est arrivé en douzième position sur dix-sept départements, et le département informatique en quinzième position. Enfin, nous avons demandé aux utilisateurs tombés dans le piège de nos e-mails s’ils avaient déjà un jour repéré des e-mails de phishing dans leur boîte de réception. Dans les deux entreprises, les départements IT et DevOps ont déclaré avoir remarqué ce type d’attaque plus fréquemment que le reste des employés : ainsi, soit ils reçoivent davantage d’attaques de phishing, soit ils se considèrent plus aptes à les repérer.

 

Deux grandes conclusions émergent de ces résultats. La première est la suivante : compte-tenu des accès stratégiques dont disposent les professionnels techniques, le fait qu’ils tombent dans le piège de ces attaques et qu’ils peinent à les signaler implique un risque accru. Deuxièmement conclusion : les connaissances informatiques et la sensibilisation au phishing ne réduisent pas la vulnérabilité face aux e-mails de phishing. Si les professionnels occupant des fonctions techniques ne parviennent ni à prévenir ces attaques, ni à lutter contre elles, comment peut-on espérer améliorer les compétences du personnel non-technique ? Il semble nécessaire de définir des pratiques de sécurité permettant aux professionnels les plus alertes de protéger les employés qui, eux, sont plus à risque.

 

Autre conclusion de l’étude : le pourcentage de signalements serait directement influencé par le processus de signalement mis en place par l’entreprise. Sur les quatre entreprises prenant part à notre étude, une n’a fourni aucune donnée à ce sujet. Les autres possédaient des processus distincts : la première comptait sur les utilisateurs pour transférer les e-mails suspects vers une boîte de réception partagée. La seconde se trouvait en phase de déploiement d’un bouton de signalement mais ne l’avait déployé que pour deux groupes (les autres faisaient suivre les e-mails). Enfin, la dernière entreprise disposait d’un bouton de signalement dans sa messagerie. Dans cette dernière entreprise, 47 % de nos e-mails de phishing ont pu être signalés comme suspects via le bouton de signalement. Dans l’entreprise qui ne possédait aucun bouton, seuls 13 % étaient signalés. Dans l’entreprise ne permettant le signalement qu’à deux services, ceux qui disposaient du bouton de signalement ont signalé 44 % de nos e-mails comme suspects, tandis que ceux qui n’en disposaient pas n’en ont signalé que 11 %.

 

Malgré les outils de protection mis en place, certains e-mails de phishing finissent par atterrir dans les boîtes de réception des employés : dans ce cas, il leur revient d’évaluer eux-mêmes le risque et d’alerter les équipes de sécurité. Si vous ne proposez pas de méthode simple et unique de signalement, vous risquez de recevoir quatre fois moins d’alertes. Nous conseillons vivement à toutes les entreprises de mettre en place un bouton de signalement pour tous les utilisateurs. « Plus de signalements » suppose « plus d’e-mails suspects à examiner », mais les outils d’automatisation et de triage sont là pour permettre de répondre à l’augmentation du nombre d’e-mails signalés.

Enfin, en matière de signalement, la rapidité est essentielle. Elle revêt la plus haute importance, tant pour les hackers qui cherchent à pirater votre réseau que pour votre équipe de sécurité, qui tente de contrer leurs attaques. Notre étude révèle que dans les cinq premières minutes suivant la diffusion d’un e-mail, le nombre d’utilisateurs piégés est trois fois supérieur au nombre de signalements. Après cinq minutes, ce rapport commence à s’équilibrer et, après 30 minutes, il faut s’attendre à plus de rapports que de clics. Cliquer sur un e-mail suspect et tomber dans le piège ne prend qu’une seconde, mais examiner l’e-mail en question et le signaler prend davantage de temps. Les entreprises doivent impérativement supprimer les freins aux signalements et disposer d’une méthode efficace pour traiter rapidement les e-mails suspects, pour prévenir les dommages.

 

Les conclusions de cette étude sont les suivantes :

  • Les humains resteront sensibles aux attaques de phishing, quel que soit leur poste dans l’entreprise.
  • Il faut aider les utilisateurs les plus vigilants en leur proposant une méthode de signalement unique et simple à utiliser, idéalement un bouton dans leur client de messagerie.
  • La rapidité est un facteur-clé : veillez à ce que votre centre de sécurité soit capable de trier rapidement les e-mails signalés, afin d’assurer une réponse efficace.

 

Vous trouverez tous les détails de l’étude, nos résultats, et certaines de nos idées sur la question sur le lien suivant :  FR – To Click or Not to Click

Amon Francoise Koutoua

01.02.22 5 min de lecture

Article mis en avant

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.