86 % des employés pensent pouvoir identifier avec certitude les courriels de phishing, mais près de la moitié d'entre eux sont tombés dans le piège

86 % des employés pensent pouvoir identifier avec certitude les courriels de phishing, mais près de la moitié d'entre eux sont tombés dans le piège.

Une nouvelle étude réalisée par la société de formation à la sensibilisation à la sécurité KnowBe4 a révélé que si 86 % des employés interrogés pensent pouvoir identifier avec certitude les courriels d'hameçonnage, près de la moitié d'entre eux sont tombés dans le piège d'une escroquerie. Outre la formation, le rapport souligne l'importance de favoriser une culture de la sécurité transparente.

En 2023, une étude de Mailinblack a dévoilé que, sur 4,1 milliards d’emails étudiés, 2,5 % d’entre eux contiennent une cyberattaque, représentant 102,5 millions de tentatives en 2022. Mailinblack avait identifié trois types de cyberattaques principales : le malware, logiciel malveillant pouvant s’infiltrer dans le système informatique comme le ransomware ou le cheval de Troie ; le phishing, envoi massif d’emails usurpant l’identité d'une organisation de confiance, incitant des milliers de destinataires à cliquer sur une URL pour communiquer ses données (mots de passe, identifiants bancaires...) ; le spearphishing, envoi ciblé d’un email usurpant l’identité d’un employé stratégique connu du destinataire, incitant par exemple à effectuer des virements bancaires de manière urgente.

Récemment, une nouvelle étude réalisée par la société de formation à la sensibilisation à la sécurité KnowBe4 a révélé que si 86 % des employés interrogés pensent pouvoir identifier avec certitude les courriels d'hameçonnage, près de la moitié d'entre eux sont tombés dans le piège d'une escroquerie. L'étude, qui a interrogé des professionnels au Royaume-Uni, aux États-Unis, en Allemagne, en France, aux Pays-Bas et en Afrique du Sud, révèle un écart croissant entre la confiance et la compétence en matière d'identification des cybermenaces.


Outre la formation, le rapport souligne l'importance de favoriser une culture de la sécurité transparente. Si 56 % des employés se sentent "très à l'aise" pour signaler des problèmes de sécurité, un sur dix hésite encore par peur ou par incertitude. Parmi les autres conclusions du rapport, 24 % des employés ont été victimes d'attaques par hameçonnage, tandis que 12 % ont été trompés par des escroqueries de type "deepfake". C'est en Afrique du Sud que le taux de victimisation est le plus élevé, 68 % des employés ayant déclaré avoir été victimes d'escroqueries.

Anna Collard de KnowBe4 commente le rapport : "L'excès de confiance favorise un dangereux angle mort - les employés pensent qu'ils sont au courant des arnaques alors qu'en réalité, les cybercriminels peuvent exploiter plus de 30 facteurs de vulnérabilité, y compris des biais psychologiques et cognitifs, des lacunes dans la connaissance de la situation, des tendances comportementales et même des traits démographiques. Avec l'évolution rapide du phishing, de l'ingénierie sociale pilotée par l'IA et des escroqueries de type « deepfake », les organisations doivent contrecarrer la confiance mal placée par une formation pratique, basée sur des scénarios. La véritable cyber-résilience ne provient pas de connaissances supposées, mais d'une formation continue, de tests dans le monde réel et d'un état d'esprit adaptatif en matière de sécurité."


Un rapport de Kaspersky en 2022 avait déjà révélé les techniques les plus utilisées, ce qui permet de mieux reconnaitre le phishing. Selon le rapport de Kaspersky, les courriels de phishing faisant référence à des problèmes d'entreprise et à des notifications de problèmes de livraison sont les plus susceptibles d'inciter les gens à cliquer sur des liens.

En outre, voici les cinq e-mails les plus convaincants, selon le rapport de Kasperky:

• Échec de la tentative de livraison -- Malheureusement, notre coursier n'a pas pu livrer votre article. Expéditeur : Service de distribution du courrier. Conversion des clics : 18,5 %.
• Emails non délivrés en raison de la surcharge des serveurs de messagerie. Expéditeur : L'équipe d'assistance Google. Taux de conversion des clics : 18
• Enquête en ligne auprès des employés : Qu'est-ce que vous aimeriez améliorer dans votre travail au sein de l'entreprise ? Expéditeur : Département RH. Taux de conversion des clics : 18
• Rappel : Nouveau code vestimentaire pour toute l'entreprise. Expéditeur : Ressources Humaines. Taux de conversion des clics : 17,5
• Attention à tous les employés : nouveau plan d'évacuation des bâtiments. Expéditeur : Département de la sécurité. Taux de conversion des clics : 16

Ces différents rapports confirment que la formation reste l'un des meilleurs outils pour la reconnaissance des emails d'hameçonnage.

Source : "Security Approaches Around the Globe: The Confidence Gap"

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Le spear-phishing par IA est très efficace, avec un taux de clics de plus de 50 %, ce qui est nettement supérieur aux humains. Il est également très rentable, réduisant les coûts jusqu'à 50 fois

25 % de tous les courriels de phishing sur lesquels les utilisateurs ont cliqué ont été envoyés sous la forme de courriels professionnels, selon KnowBe4

Des chercheurs ont mis au jour une campagne soutenue et continue menée par des espions russes qui utilisent une technique d'hameçonnage pour détourner des comptes Microsoft 365