Hameçonnage : augmentation considérable du taux de clics et de compromission des données

Une simulation de cyberattaque par hameçonnage menée à l’échelle mondiale révèle que près de 70 % des travailleurs risquent de compromettre leurs données d’accès après avoir ouvert un courriel malveillant.

Image : Getty

L’entreprise québécoise Terranova Security, spécialisée en sensibilisation à la cybersécurité, a organisé cette simulation dans le cadre de son tournoi Gone Phishing 2020. L’événement virtuel s’est déroulé pendant 11 jours en octobre à travers 98 pays.

Microsoft, coprésentateur de la compétition, a fourni un modèle de courriel et de page Web reproduisant un scénario réaliste auquel les participants, en particulier les travailleurs à distance, peuvent faire face au quotidien.

Le modèle permettait d’évaluer plusieurs comportements liés à l’hameçonnage chez les utilisateurs, comme le fait de cliquer sur un lien dans un courriel suspect et de partager des données en remplissant un formulaire Web.

La même simulation d’hameçonnage, disponible en 12 langues, a été utilisée pour l’ensemble des participants afin d’obtenir des données précises et comparables d’une organisation à l’autre.

Les résultats, publiés dans le Rapport mondial d’analyse comparative sur l’hameçonnage, montrent que près de 20 % des employés sont prompts à cliquer sur les liens d’un courriel d’hameçonnage. Il s’agit d’une augmentation considérable par rapport au 11 % observé lors de la première édition du tournoi Gone Phishing en 2019.

Soixante-sept pour cent de ceux qui ont ouvert les liens ont partagé leurs données d’accès, notamment leurs identifiants et leurs mots de passe.

Les utilisateurs nord-américains ont éprouvé le plus de difficulté avec l’exercice de simulation, avec un taux de clics de 25,5 % et un taux général de partage des données de 18 %. Cela signifie qu’un peu plus de 7 cliqueurs sur 10 ont compromis leurs données d’accès.

Les participants européens présentent les taux de clics et de partage les plus faibles, à 17 % et 11 % respectivement.

Selon Lise Lapointe, auteure et présidente-directrice générale de Terranova Security, ces résultats illustrent le besoin croissant pour des initiatives de de formation basées sur des simulations d’hameçonnage réalistes. « Les organisations doivent prendre les résultats de cette analyse comparative au sérieux et adopter les mesures nécessaires pour s’assurer que chaque utilisateur possède les connaissances qui lui permettront de se protéger contre les cybermenaces les plus récentes et élaborées », a-t-elle déclaré par communiqué.

Pour Theo Zafirakos, directeur de la sécurité de l’information à Terranova Security, les résultats constituent une indication claire que les dirigeants en sécurité doivent effectuer davantage d’éducation au sein de leurs entreprises, surtout lorsqu’on considère que le tournoi a eu lieu pendant le Mois de la sensibilisation à la cybersécurité. « C’est une période de l’année où les occasions d’apprentissage et de communication en lien avec l’hameçonnage ont tendance à être accrues. Les résultats démontrent l’importance de mettre en œuvre ou de raffiner les initiatives de sensibilisation en continu », a-t-il indiqué.

La publication du rapport survient à la fin d’une année tumultueuse pour les entreprises du monde entier. La pandémie de COVID-19 a forcé de nombreuses organisations à adopter rapidement un mode de travail à distance ou hybride. Terranova Security estime que la multiplication des bureaux virtuels a affaibli la portée des mesures de protection des données, ce qui a mis en lumière la difficulté de certains employés à détecter et à éviter les menaces d’hameçonnage.

Terranova security offre des programmes de sensibilisation et d’éducation à la cybersécurité à des organisations du monde entier, avec une approche basée sur la réduction du facteur de risque humain. Ses services comprennent notamment une plateforme de sensibilisation multilingue, des séances de formation et des simulateurs d’attaque intuitifs. L’entreprise, établie à Laval, travaille avec des experts en cybersécurité à travers le monde pour adapter ses outils aux menaces les plus actuelles.

Catherine Morin
Catherine Morin
Éditrice - Direction Informatique

Articles connexes

Un pirate de LastPass a obtenu des informations sur ses clients et ses données de coffre-fort cryptées

Les utilisateurs professionnels et personnels de la solution de gestion des mots de passe LastPass sont avisés de prendre des mesures défensives après que l'entreprise eut reconnu que des informations client et des données cryptées qu'elles avaient stockées dans le coffre-fort numérique du service ont été copiées par un pirate informatique lors d'une attaque de la chaîne d'approvisionnement.

Une clé USB vendue par un prêteur sur gages du Yukon contenait des données personnelles du ministère de la Santé

Un homme de Whitehorse qui a acheté une clé USB chez un prêteur sur gages l'a branchée à un ordinateur et a découvert que la clé contenait des dossiers confidentiels du ministère de la Santé et des Services sociaux du gouvernement du territoire.

Les employés québécois peu concernés par le vol de données au travail

Une nouvelle étude sur les cybermenaces sur le lieu...

Détecter les intrusions avant une attaque

Par Avi Posesorsky, directeur des ventes chez Fortinet Avec leurs...

Google Cloud annonce de nouvelles solutions de sécurité

Google Cloud élargit son offre de cybersécurité et place sa récente acquisition de la société de cybersécurité Mandiant au premier plan de ses annonces de sécurité lors de la conférence Google Cloud Next 2022.