Si 49% des entreprises françaises ont été la cible d’attaques de phishing au cours des deux dernières années, plus de la moitié (52%) disent avoir identifié des cas d’employés qui avaient répondu à des emails non sollicités ou cliqué sur des liens contenus dans ces derniers (source : Sophos). Preuve s’il en était besoin que c’est bien l’humain qui s’avère le maillon faible de la sécurité informatique.

Bien que les entreprises françaises aient été victimes d’attaques de phishing à un taux plus élevé que celui des autres pays étudiés, le nombre d’attaques réussies était similaire à celui enregistré au Royaume-Uni (45%) et aux Pays-Bas (44%).

« Les cybercriminels savent parfaitement utiliser l’ingénierie sociale pour exploiter les vulnérabilités inhérentes à l’être humain, explique Michel Lanaspèze, Directeur Marketing de Sophos France. Par conséquent, même si des employés bien formés constituent un excellent moyen de dissuasion, le meilleur des utilisateurs n’est toutefois pas infaillible ».

La conduite à tenir
L’entreprise doit donc s’assurer que les employés restent vigilants face aux menaces que représentent les attaques de phishing. La formation continue doit faire partie de cette démarche qui vise à vérifier, par le biais de contrôles inopinés, le comportement des employés sur le terrain et à s’assurer qu’ils suivent de manière appropriée et régulière les directives qui leur ont été données.

Compte tenu de la fréquence de ces attaques, les entreprises qui ne disposent pas d’une infrastructure de base pour repérer les personnes qui prennent le risque d’ouvrir des emails potentiellement dangereux, et détecter les cyberattaques en cours au sein de leurs systèmes, risquent de rencontrer d’importants problèmes.

« Les entreprises doivent bloquer les liens malveillants, les pièces jointes et les cybercriminels avant qu’ils n’atteignent les boîtes de réception des utilisateurs finaux, et utiliser les derniers outils en matière de cybersécurité pour empêcher les ransomwares ainsi que les autres menaces avancées de se propager au sein de leurs équipements, et ce même si un utilisateur devait cliquer sur un lien malveillant ou ouvrir une pièce jointe infectée », poursuite Michel Lanaspèze.

Les grands comptes, plus ciblés que les ETI et les PME
En Europe de l’Ouest, 54% des directeurs informatiques au sein d’entreprises employant entre 500 et 1 000 personnes ont déclaré aux chercheurs de Sophos que leurs entreprises avaient été victimes d’attaques de phishing au cours des deux dernières années. Ce chiffre est à comparer à celui relatif aux entreprises de 250 à 499 employés (39%) et aux entreprises de moins de 250 personnes (seulement 14%).

Former les collaborateurs, premier rempart contre les cyber-menaces
Notez enfin que 50% des entreprises de moins de 250 personnes ont proposé une formation pour aider les employés à détecter les attaques, contre 78% pour celles comptant entre 500 et 1 000 personnes. 70% des entreprises françaises organisent d’ailleurs déjà des formations régulières de sensibilisation aux cyber-menaces, tandis que 26% d’entre elles ont l’intention d’en proposer à l’avenir.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>