Dans le paysage de la cybercriminalité, le phishing reste la menace à laquelle les entreprises du monde entier sont le plus confrontées (1). Les techniques et les scénarios sont de plus en plus crédibles et efficaces et font courir aux organisations des risques aussi bien sur le plan financier qu’en matière de crédibilité et de e-reputation.
La bonne vieille méthode des années 90 reste l’une des plus répandues… et des plus pernicieuses. Le nombre d’attaques de phishing uniques dépassait encore celui des malwares au premier trimestre 2018. Le phishing (ou hameçonnage) demeure le vecteur de cyberattaque le plus prisé des hackers (2). La raison ? La technique est de loin la plus facile et la plus efficace. Près de 20 % à 30 % des collaborateurs finissent par cliquer sur le lien d’un email de phishing (3), première étape avant la connexion à une page qui les invite ensuite à confier leurs identifiants et mots de passe. Difficile, même pour les utilisateurs les plus avertis, de distinguer un mail légitime d’une copie visant à les piéger.
Une double menace pour les marques
Tout le monde est vulnérable, de manière immédiate, marques privées et publiques en tête. Il faut dire que la technique du phishing représente une double menace pour les organisations qui, non seulement voient leur marque détournée (organismes sociaux, banques, fournisseurs d’accès internet, grande distribution…), mais aussi tombent dans le piège de l’email frauduleux. Près d’un tiers des personnes interrogées reconnaissent avoir déjà subi une attaque sans malware au sein de leur entreprise (1). Et le risque est majeur quand on sait que l’entreprise concentre à elle seule 80% des données.
Des scénarios de plus en plus ciblés
Le phishing se décline en différentes variantes pour toujours mieux cibler ses attaques : la version « spear » touche les employés d’une entreprise spécifique et permet ainsi de pénétrer le réseau de celle-ci. Abus de confiance, mise à jour d’informations, appel à donation, usurpation d’identité… Les scénarios s’affinent et se diversifient et avec eux, les risques d’hameçonnage.
Plus ciblé encore, le « whaling » vise directement une direction ou ses cadres dirigeants dans le but de soutirer des informations sensibles, une somme d’argent ou encore d’accéder au système informatique. Dans tous les cas, les conséquences peuvent être désastreuses pour l’organisation, de la perte d’informations sensibles jusqu’à la divulgation de données clients, de documents confidentiels, de contrats ou même de brevets…
Le collaborateur, la meilleure ligne de défense
Face à ce type d’attaques, les technologies et les méthodes de protection (antispams, logiciels anti-virus) s’avouent bien impuissantes. Le volume d’emails de phishing, certes en croissance, ne permet pas d’être détecté et passe encore sous les radars de la plupart des solutions qui reposent sur une base de signatures et sur des antispams. Le phishing nécessite des réponses dédiées capables d’identifier et de bloquer sa diffusion. Restent la sensibilisation continue et la formation régulière des employés, méthode efficace mais encore trop peu utilisée au sein des organisations.
(1) Enquête de SANS Institute 2017
(2) Source : Security Operations Center de Vade Secure
(3) Dark Reading (online community for security professionals)