in Sécurité

Menaces informatiques : les entreprises françaises particulièrement crédules face aux attaques par phishing

L’étude trimestrielle de McAfee révèle que 80 % des employés de bureau se font piéger à travers le monde et 92 % en France. Au global, les services de comptabilité et les ressources humaines, qui détiennent une partie des données des entreprises les plus sensibles, obtiennent les plus mauvais résultats dans la détection des attaques.

Alors que des photos de stars nues circulent désormais sur le web suite, selon Apple, à du phishing ciblé qui aurait permis de récupérer mots de passe et identifiants des comptes piratés, McAfee Labs publie aujourd’hui son rapport trimestriel en matière de menaces révélant que le phishing continue d’être une tactique efficace même pour infiltrer les réseaux d’entreprise.

C’est au travers d’un quiz que McAfee a testé la capacité des utilisateurs à détecter les escroqueries en ligne. Cette étude révèle ainsi que 80 % des participants n’ont pas réussi à repérer au moins un des sept courriels révélés être du phishing. De plus, les résultats montrent que les services de comptabilité et des ressources humaines, qui détiennent une partie des données des entreprises les plus sensibles, obtiennent les plus mauvais résultats dans la détection des attaques, avec des résultats inférieurs de 4 % à 9 % aux autres.

Et du côté de la France ?

Seulement 8 % des employés de bureaux français ont fait un sans faute en identifiant correctement tous les emails du quiz (légitimes et suspects). 21 % ont quant à eux correctement identifiés les emails suspects mais également écartés des emails légitimes et 79 % se sont trompés au moins une fois sur les emails de phishing.

Dans la majorité des entreprises interrogées en France, le département des RH a été le moins performant pour détecter les tentatives de phishing : 60 % d’attaques détectées contre 66 % dans le reste du monde. De plus, les employés RH français se démarquent également avec 100 % des sondés qui ont manqué au moins une attaque par phishing, par rapport à une moyenne mondiale de 79 %.
En revanche, les bons élèves sont les étudiants qui sont les plus habiles à détecter les attaques phishing avec 73 % de réussite, puis les services de R&D avec 71 %.

En général, les employés de bureau se font d’avantage leurrer par les phishings s’ils proviennent d’une adresse email clonée. 71% se sont fait avoir par un mail qui se disait provenir de la société UPS et  56 % par des emails supposés être adressés par eFax.

Depuis la publication de son rapport sur les menaces le trimestre dernier, McAfee Labs a recueilli plus de 250 000 nouvelles URL de phishing, représentant un total de près d’un million de nouveaux sites sur l’année écoulée. On note ainsi une augmentation du volume total mais également une augmentation significative de la sophistication des attaques de phishing. Les résultats ont montré que les cybercriminels utilisent aujourd’hui aussi bien des campagnes massives de phishing que du « spear phishing » (attaque ciblée) dans leurs stratégies d’attaque. On note également que les États-Unis restent le pays qui héberge le plus de sites de phishing.

«Aujourd’hui, nous sommes confrontés à un défi qui est la mise à niveau des technologies de base d’internet afin de mieux répondre aux volumes et la sensibilité du trafic « , déclare David Grout, Directeur Europe du Sud chez McAfee. « Tous les aspects de la chaîne de confiance ont été rompus ces dernières années – des mots de passe aux chiffrements de clé publique OpenSSL et, plus récemment à la sécurité des ports USB. L’infrastructure sur laquelle nous misons tant, dépend de technologies qui n’ont pas suivi l’évolution et ne répondent plus aux exigences d’aujourd’hui « .

Des menaces toujours plus innovantes

Les résultats ont également révélé de nouvelles possibilités en matière de cybercriminalité, avec la divulgation publique de la vulnérabilité Heartbleed. Les données volées via les sites vulnérables concernés sont actuellement vendues sur le marché noir. Les sites non patchés sont rapidement devenus des cibles privilégiées pour les cybercriminels et des moyens sont maintenant facilement disponibles pour attaquer des sites non porteurs du patch. Grâce à ces outils, il est possible de relier un système automatisé qui cible les machines vulnérables connues, et d’en extraire des informations sensibles.

A savoir également…

  • Opération Tovar: McAfee s’est associé entre autre à des agences de défense pour lutter contre Gameover Zeus et CryptoLocker en bloquant plus de 125 000 domaines CryptoLocker et en incapacité à de plus de 120 000 domaines Gameover Zeus. Cependant, le nombre de clones est à la hausse, avec la création de nouvelles variantes de demandes de rançons ou de malware financier en utilisant le code source de Zeus.
  • L’évolution des malware: les malware n’ont augmenté que de 1 % au deuxième trimestre. Cependant, avec plus de 31 millions de nouveaux malware, cela reste le nombre le plus élevé enregistré en un seul trimestre. Le nombre total de logiciels malveillants mobiles a augmenté de 17 % au deuxième trimestre, tandis que le taux de nouveaux logiciels malveillants semble s’être stabilisé à environ 700 000 par trimestre.
  • Les menaces sur les réseaux: les attaques de dénis de service ont augmenté de 4 % au deuxième trimestre et restent le type de menaces le plus répandu sur les réseaux.
Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.