Les résultats du Gone Phishing Tournament™ 2022 de Terranova Security par Fortra révèlent que les grandes entreprises sont les plus exposées au risque de compromission des données English

Le rapport souligne qu'une formation en sensibilisation à la sécurité qui s'appuie sur des exercices pratiques est essentielle pour créer une culture de sécurité

LAVAL, QC, le 1er févr. 2023 /CNW Telbec/ - Le plus récent Rapport d'analyse comparative sur l'hameçonnage, basé sur les résultats du Gone Phishing Tournament^TM 2022, révèle que les grandes organisations de 10 000 employés et plus sont les plus susceptibles aux attaques d'hameçonnage promettant un cadeau, bien qu'elles aient potentiellement accès à plus de ressources de cybersécurité que les plus petites entreprises.

Organisé par Terranova Security par Fortra et co-présenté par Microsoft, le tournoi annuel mesure et évalue la façon dont les employés réagissent à l'un des types de cybermenaces les plus courants : les attaques par hameçonnage. Les résultats du Rapport d'analyse comparative sur l'hameçonnage 2022 soulignent le besoin croissant pour toutes les organisations de mettre en œuvre des programmes de formation en sensibilisation à la sécurité engageants et informatifs. Idéalement, ces programmes tireraient parti de simulations d'hameçonnage basées sur des menaces réelles pour s'assurer que les employés soient au courant des dernières tactiques d'hameçonnage, puissent détecter et signaler les cybermenaces à temps, et modifier leurs comportements en ligne mettant à risque leur organisation.

Selon le rapport, de nombreux employés sont toujours enclins à répondre à des demandes d'informations sensibles, même lorsqu'elles proviennent d'expéditeurs inconnus ou suspects. Ce niveau de confiance laisse les données confidentielles d'une organisation bien vulnérables aux pirates.

"Les cybermenaces continuent de faire la une des journaux dans le monde entier. Il est important de considérer qu'en fonction de leur contexte, chaque tentative d'arnaque par hameçonnage peut convaincre un ensemble différent d'utilisateurs de cliquer. Il y a encore beaucoup de travail à faire pour aider les organisations à créer et à développer une culture soucieuse de la sécurité », déclare Theo Zafirakos, CISO chez Terranova Security par Fortra. « Comme le montre également le Rapport d'analyse comparative sur l'hameçonnage, il est difficile pour certaines organisations, en particulier celles avec un nombre d'employés important, d'éduquer leur personnel et de renforcer les meilleures pratiques en matière de cybersécurité. Cela est particulièrement vrai dans un contexte de travail à distance. »

7 % de tous les utilisateurs qui ont participé à la simulation d'hameçonnage de 2022 ont cliqué sur le lien dans le courriel d'hameçonnage. De plus, 3 % de tous les utilisateurs n'ont pas reconnu les signes avant-coureurs d'une possible arnaque et ont saisi leurs informations d'identification sur la page Web malveillante de la simulation.

Malgré des résultats apparemment faibles, le taux de complétion des formulaires de cette année est préoccupant. À l'échelle mondiale, 44 % de ceux qui ont cliqué sur le lien de simulation d'hameçonnage ont finalement rempli le formulaire Web sur la page suivante et ont soumis leurs identifiants de connexion.

« Pour mettre ces chiffres en perspective, si une organisation de 10 000 employés avait été ciblée par une attaque d'hameçonnage, comme celle effectuée lors de la simulation, 700 employés auraient cliqué sur le lien, et plus de 300 de ces cliqueurs auraient saisi leur mot de passe, explique Zafirakos. Dans le cas d'un véritable hameçonnage, les données auraient pu être utilisées pour compromettre des systèmes et des informations sensibles. Compte tenu de notre dépendance à l'égard des systèmes et des données en ligne pour effectuer de nombreuses transactions et services commerciaux, cette réalité est préoccupante. »

La simulation a révélé que les employés des grandes organisations sont les plus vulnérables aux attaques. Selon les données des organisations participantes, celles ayant 10 000 employés et plus manquent rarement la formation en sensibilisation à la sécurité, ce qui indique potentiellement un manque d'efficacité.

Parmi les autres données clés de la quatrième édition de cet événement, citons que:

• Pour les taux de clics par industrie, les organisations à but non lucratif, l'éducation, la fabrication et l'alimentation et l'agriculture ont affiché les totaux les plus élevés, tous obtenant plus de 6 %. Pendant ce temps, les participants du secteur public, de l'énergie et de la finance ont maintenu leur taux de clics en dessous de 3,5 %.
• Le secteur des produits de consommation affichait le taux de complétion du formulaire le plus élevé de tous les secteurs, puisque 40 % de ceux qui avaient cliqué sur le lien d'hameçonnage initial saisissaient également leurs informations d'identification sur la page Web malveillante.
• L'Europe a été la plus performante des cinq régions représentées, affichant les taux de clics sur les liens d'hameçonnage et de complétion des formulaires les plus bas. L'Amérique du Nord, la région la plus performante en 2021, s'est classée deuxième.

« Les résultats du tournoi Gone Phishing Tournament de cette année soulignent l'importance d'adopter une approche centrée sur l'humain pour la formation et le contenu de sensibilisation à la sécurité », déclare Brand Koeller, Principal Product Manager, Microsoft Defender. « Les mesures de protection technologiques ne peuvent à elles seules garantir la sécurité des informations. Aborder le facteur de risque humain devrait être une priorité absolue pour toutes les organisations. »

Le Gone Phishing Tournament 2022 a eu lieu en octobre pour coïncider avec le Mois de la sensibilisation à la cybersécurité. Avec plus de 250 organisations participantes et plus de 1,2 million de courriels envoyés lors de l'événement de cette année, il s'agissait de l'une des plus grandes simulations d'hameçonnage de ce type. L'augmentation du taux de participation montre que l'hameçonnage est une préoccupation majeure pour de nombreuses organisations compte tenu de la nature complexe en constante évolution des cybermenaces réelles.

Microsoft a fourni les modèles de courriel et de page Web de cette année, conçus pour imiter un scénario réel auquel de nombreux employés sont confrontés : l'arnaque à la carte-cadeau. Le scénario, sélectionné par l'équipe de direction de Terranova Security, a mesuré plusieurs comportements des utilisateurs, tels que cliquer sur un lien dans le corps d'un courriel d'hameçonnage et saisir des informations d'identification dans un formulaire sur une page Web frauduleuse.

Si les utilisateurs cliquaient sur le lien dans le courriel de la simulation d'hameçonnage, ils étaient redirigés vers une page de destination qui les invitait à saisir des informations d'identification qui, si la simulation avait été une attaque réelle, auraient été compromises. Si les utilisateurs ont terminé cette deuxième étape, ils ont été amenés à une page de commentaires sur la simulation mettant en évidence les signes avant-coureurs qu'ils ont manqués et les meilleures pratiques qu'ils doivent suivre.

Bien que la simulation du Gone Phishing Tournament 2022 ait été jugée plus facile que les années précédentes, le taux de clics et le taux de soumission des formulaires Web sont toujours considérés comme élevés.

Téléchargez le Rapport d'analyse comparative sur l'hameçonnage 2022 obtenir tous les résultats de la dernière édition du Gone Phishing Tournament^TM.

Terranova Security par Fortra est le partenaire de choix en sensibilisation à la sécurité. Depuis plus de 20 ans, l'entreprise transforme les utilisateurs du monde entier en cyberhéros. En utilisant une démarche pédagogique éprouvée, les solutions de formation Terranova Security par Fortra permettent aux organisations à travers le monde de mettre en œuvre des programmes qui modifient les comportements des utilisateurs, réduisent les risques humains et contrent efficacement les cybermenaces. Par conséquent, tout employé peut mieux comprendre les risques liés à l'hameçonnage, l'ingénierie sociale, la confidentialité des données, la conformité et d'autres bonnes pratiques essentielles. Terranova Security par Fortra innove constamment pour soutenir les objectifs de cybersécurité de toutes les organisations. Apprenez-en plus sur terranovasecurity.com.

SOURCE Fortra's Terranova Security

Relations médias: Camille Chabot, FleishmanHillard HighRoad au nom de Terranova Security, [email protected], 1 (581) 984-3736