Une nouvelle étude de Lookout a révélé que les responsables de la sécurité ont une confiance excessive dans leurs capacités et dans celles des employés en matière de sécurité mobile. Alors que 96 % d'entre eux sont convaincus que leurs employés sont capables de détecter une tentative d'hameçonnage, 58 % ont signalé des incidents au cours desquels des employés ont été victimes d'escroqueries par usurpation d'identité de cadres supérieurs via SMS. L'étude souligne la nécessité cruciale pour les organisations de repenser leurs stratégies de cybersécurité, en particulier en ce qui concerne les facteurs de risque humains liés aux attaques d'ingénierie sociale.Ces révélations viennent renforcer les conclusions d'une étude précédente menée par Tessian, qui a établi qu'un employé sur trois ne saisit pas l'importance de la cybersécurité au travail et que seuls 39 % des employés se disent très susceptibles de signaler un incident de sécurité. Une situation qui rend les enquêtes et les mesures correctives encore plus difficiles et fastidieuses pour les équipes de sécurité.
L'étude menée par Lookout auprès de plus de 700 responsables de la sécurité à travers le monde a montré un décalage inquiétant entre les croyances et la réalité en matière de préparation à la cybersécurité. L'idée répandue est que les employés sont préparés aux tactiques modernes très efficaces utilisées par les acteurs malveillants, telles que l'ingénierie sociale axée sur les appareils mobiles, l'usurpation d'identité de cadres supérieurs et le phishing. La réalité, confirmée par les résultats de l'étude, est tout autre et masque une situation dangereuse qui rend les entreprises trop confiantes et plus vulnérables aux menaces modernes qu'elles ne le pensent.
Les principales conclusions de l'enquête de Lookout soulignent la confiance excessive généralisée des employés dans leur capacité à identifier les menaces modernes. Par exemple, 96 % des dirigeants sont convaincus que leurs employés sont capables de détecter une tentative d'hameçonnage sur leurs appareils mobiles. Pourtant, plus de la moitié (58 %) des organisations ont signalé des incidents au cours desquels des employés ont été victimes d'escroqueries par usurpation d'identité de cadres supérieurs via SMS ou appel vocal, entraînant des pertes financières ou la divulgation de données sensibles.
De plus, bien que 77 % des organisations aient subi au moins une attaque de phishing mobile au cours des six derniers mois et 74 % étant souvent alertées de messages de phishing suspects sur mobile, seule la moitié (50 %) des personnes interrogées se disent très préoccupées. De surcroît, 51 % des personnes interrogées admettent avoir une visibilité incohérente des tentatives d'ingénierie sociale, ce qui crée d'énormes angles morts en matière de sécurité.
« Les cybercriminels d'aujourd'hui sont de plus en plus sophistiqués et savent que les terminaux mobiles ont toujours été négligés dans les stratégies de sécurité de nombreuses entreprises », explique Jim Dolce, PDG de Lookout. « Cette enquête démontre clairement que cette négligence crée une vulnérabilité dangereuse. Les pirates ciblent agressivement les employés sur leurs appareils iOS et Android, en utilisant des tactiques d'ingénierie sociale très efficaces via SMS, appels vocaux et applications de messagerie pour compromettre les identifiants et accéder discrètement aux données de l'entreprise. »
Les obstacles cachés : pourquoi les cyberdéfenses sont insuffisantes
Les conclusions de l'étude de Lookout mettent en évidence des problèmes fondamentaux pour les organisations. D'une part, il existe un écart dangereux entre le niveau de préparation que les organisations pensent avoir atteint face aux menaces de sécurité et leur niveau de préparation réel. Cette confiance excessive peut conduire à des attaques réussies, même lorsque les équipes pensent être protégées. Les acteurs malveillants d'aujourd'hui veulent accéder discrètement aux données des entreprises, et le meilleur moyen d'y parvenir est d'utiliser le nom d'utilisateur et le mot de passe d'un employé. Comme ces acteurs savent que les terminaux mobiles ont toujours été négligés dans les stratégies de sécurité des terminaux, ils ciblent agressivement les employés sur leurs appareils iOS et Android afin de compromettre leurs identifiants.
L'une des tactiques les plus efficaces pour cibler les employés sur leur mobile est l'ingénierie sociale, qui est incroyablement efficace lorsqu'elle est utilisée via SMS, voix, applications de messagerie ou tout autre support mobile. Étant donné que les solutions de sécurité...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.