43 000 000 000 de dollars USD : le montant estimatif des pertes liées aux cyber-attaques par credential phishing, depuis 2016 et rien que pour les messageries professionnelles !

Uniquement dans le domaine du phishing, une récente étude démontre l’ampleur du credential phishing, notamment dans le milieu professionnel : souvent une cible de choix pour rebondir vers d’autres cibles ou contacts, la compromission d’e-mail professionnels (BEC : Business eMail Compromise) permet souvent aux cyber-attaquants de trouver des documents ou ressources précieuses au détour d’exploits (RCE, infection-système…) pour consulter, modifier, créer voire effacer (quand ce n’est pas chiffrer) les données intégrés dans ces terminaux ; un mail peut ainsi être la clé vers la caverne aux merveilles ou ce que les cyber-attaquants peuvent considérer en tant que tel. Au-delà du défi de l’exploit ou du but recherché, derrière ces mails résident souvent des entreprises ou multi-nationales, selon le cas, avec, post-attaque, un bilan financier des dégâts qui s’avère bien lourd ; 43 milliards de dollars USD depuis 2016, selon AbnormalSecurity qui délivre les tendances sécuritaires qui ont été récemment adoptées quand au phishing.

Condensé des éléments de réponses fournis par les panelistes (300 entreprises spécialisées dans la sécurité numérique), concernant les stratégies gravitant autour de l’environnement-(web)mail :

• Environnement-mail : 48 % hybride (traditionnel + Cloud) avec une intention de migrer en full-hybride contre 45 % pour un environnement Cloud exclusif ;

• Nature des cyber-menaces en milieu professionnel : les pièces jointes dominent dans le classement estimatif, personnel des répondants du sondage qui assimilent le phishing (assez justement, sauf variantes ou créativité des cyber-attaquants, bien sûr) par ce vecteur (la PJ). Vient, ensuite, la cyber-attaque par ransomware (distribuée au détour d’un mail, donc) puis le credential phishing. Les URLs malicieuses viennent juste après avec les BECs (compromissions d’e-mail professionnels). Paradoxalement, la crainte d’un spam est en avant dernière position ;

• Capacité de réaction face au phishing : la prévention reste en-tête suivie, après-coup, de la détection ; l’effet action-réaction étant en troisième position : un aveu des entreprises interrogées qui, en toute humilité, sont les premières à reconnaître que les mesures correctives sécuritaires sont appliquées avec un décalage ou un léger manque de réactivité à ce niveau. Sur une échelle de 1 à 5 (5 étant le degré de réactivité le plus élevé), l’ensemble plafonne à un indice de 3.8 points environ ;

• 93 % des répondants ont déjà migré leur système vers une solution Cloud (Microsoft 365, Google Workspace) ;

• ICES (Integrated Cloud Email Security, sécurité intégrée des e-mails dans le cloud) priorisé par rapport au SEG (Secure Email Gateway, passerelle de messagerie sécurisée) à hauteur de 62,7 % (usage en natif) contre 50 % (installation d’une solution ou d’un logiciel assimilé). 59,3 % environ reste sous SEG ;

• 92 % ont déjà essuyé au moins une fois une cyber-attaque par phishing qui était le vecteur initial (amorce pour la charge virale et son installation), en 2021. Selon l’étude, cela conduit à constater que les solutions sécuritaires sont peu efficaces. A noter que par ce biais et en général (hors cas spécifique), un clic-utilisateur sur un lien permet d’enclencher l’infection sur le système : au-delà des solutions sécuritaires, ce sont les reflexes sécuritaires à expliquer aux employés et en entreprise via des formations ou des points-réunion, par exemple, dédiés (aucune solution sécuritaire ne pourra prémunir d’une omission ou méconnaissance) ;

• Le sondage montre un niveau de confiance envers les salariés dans la détection de phishing, de la part des employés, assez élevé : 19 % ont une confiance “très haute” contre 50 % pour une confiance “haute” ; 28 % pour les plus mitigés ou neutres contre 3 % pour les plus sceptiques sur cette question ;

• Par signalement ou report d’un phishing potentiel, il est pris entre 31 minutes et 60 minutes (41 % des répondants) contre 11 minutes à 30 minutes (pour 38 % des répondants) : un temps précieux qui pourrait être envisagé pour une tâche estimée plus utile ou, du moins, qui affecte la productivité en entreprise. Sur une plage de 12 mois, 39 % de ces signalements comprennent 6 à 10 signalements contre 1 à 5 à hauteur de 28 %. On pourra relever que 8 % des interrogés ne relèvent aucun signalement pour le phishing ce qui peut suggérer soit une heureuse fortune soit un manque de signalement en entreprise de la part des employés, pour contribuer à endiguer d’éventuelles cyber-attaque par phishing (manque de temps ou, tout simplement encore, méconnaissance du sujet).

Activités des cyber-attaques ciblant des e-mails,

de Janvier à Juin 2022

(Source : AbnormalSecurity)

Le sondage estime de manière globale que le Cloud ou un environnement (mail) hybride sera la meilleure option pour parer aux cyber-attaque par phishing : là encore, tout les investissements et optimisations du monde ne pourrait suffire si les salariés ne sont pas éclairé sur le sujet de manière bienveillance et en pédagogie sérieuse (autrement que des plaquettes colorées, par exemple ou entre deux astuces d’un responsable à l’heure du déjeuner). Il faut prévoir, sans surcharger les emplois du temps des administrateurs ou responsables dédiés bien évidemment, des points informatifs pour expliquer le cheminement et ce qui peut conduire, au niveau du salarié-même, à l’exécution d’une charge virale relative au phishing (bien souvent un lien, un fichier, une macro-commande, une tendance à nouveau exploitée…). Au-delà des failles dans les systèmes automatisés (notamment sous Cloud) ou dans les données synchronisées, le facteur humain restera toujours dans la boucle d’un phishing (sauf cas spécifiques) pour faciliter la diffusion de la charge virale : il convient donc de prendre ce point en compte de manière sérieuse, éclairée, en faisant participer le salarié qui y gagnera en compréhension et, en finalité, en sécurité ; ainsi que l’entreprise, par ricochet. Dans un autre rapport, l’éditeur indiquant que, pour la période allant de Janvier à Juin 2022, les cyber-attaques par credential phishing prédominaient (68.47 %) de loin… A veiller !

Source : AbnormalSecurity – Rapport des tendances sécuritaires 2022 en milieu professionnel, relatif au credential phishing.

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message