58 % des employés sont victimes d'arnaques par phishing mobile et d'usurpation d'identité de dirigeants, les responsables de la sécurité ayant une confiance excessive dans leurs capacités et dans les employés

58 % des employés sont victimes d'arnaques par phishing mobile et d'usurpation d'identité de cadres supérieurs, les responsables de la sécurité ayant une confiance excessive dans leurs capacités et dans les employés

Une nouvelle étude de Lookout a révélé que les responsables de la sécurité ont une confiance excessive dans leurs capacités et dans celles des employés en matière de sécurité mobile. Alors que 96 % d'entre eux sont convaincus que leurs employés sont capables de détecter une tentative d'hameçonnage, 58 % ont signalé des incidents au cours desquels des employés ont été victimes d'escroqueries par usurpation d'identité de cadres supérieurs via SMS. L'étude souligne la nécessité cruciale pour les organisations de repenser leurs stratégies de cybersécurité, en particulier en ce qui concerne les facteurs de risque humains liés aux attaques d'ingénierie sociale.

Ces révélations viennent renforcer les conclusions d'une étude précédente menée par Tessian, qui a établi qu'un employé sur trois ne saisit pas l'importance de la cybersécurité au travail et que seuls 39 % des employés se disent très susceptibles de signaler un incident de sécurité. Une situation qui rend les enquêtes et les mesures correctives encore plus difficiles et fastidieuses pour les équipes de sécurité.

L'étude menée par Lookout auprès de plus de 700 responsables de la sécurité à travers le monde a montré un décalage inquiétant entre les croyances et la réalité en matière de préparation à la cybersécurité. L'idée répandue est que les employés sont préparés aux tactiques modernes très efficaces utilisées par les acteurs malveillants, telles que l'ingénierie sociale axée sur les appareils mobiles, l'usurpation d'identité de cadres supérieurs et le phishing. La réalité, confirmée par les résultats de l'étude, est tout autre et masque une situation dangereuse qui rend les entreprises trop confiantes et plus vulnérables aux menaces modernes qu'elles ne le pensent.

Les principales conclusions de l'enquête de Lookout soulignent la confiance excessive généralisée des employés dans leur capacité à identifier les menaces modernes. Par exemple, 96 % des dirigeants sont convaincus que leurs employés sont capables de détecter une tentative d'hameçonnage sur leurs appareils mobiles. Pourtant, plus de la moitié (58 %) des organisations ont signalé des incidents au cours desquels des employés ont été victimes d'escroqueries par usurpation d'identité de cadres supérieurs via SMS ou appel vocal, entraînant des pertes financières ou la divulgation de données sensibles.


De plus, bien que 77 % des organisations aient subi au moins une attaque de phishing mobile au cours des six derniers mois et 74 % étant souvent alertées de messages de phishing suspects sur mobile, seule la moitié (50 %) des personnes interrogées se disent très préoccupées. De surcroît, 51 % des personnes interrogées admettent avoir une visibilité incohérente des tentatives d'ingénierie sociale, ce qui crée d'énormes angles morts en matière de sécurité.

« Les cybercriminels d'aujourd'hui sont de plus en plus sophistiqués et savent que les terminaux mobiles ont toujours été négligés dans les stratégies de sécurité de nombreuses entreprises », explique Jim Dolce, PDG de Lookout. « Cette enquête démontre clairement que cette négligence crée une vulnérabilité dangereuse. Les pirates ciblent agressivement les employés sur leurs appareils iOS et Android, en utilisant des tactiques d'ingénierie sociale très efficaces via SMS, appels vocaux et applications de messagerie pour compromettre les identifiants et accéder discrètement aux données de l'entreprise. »

Les obstacles cachés : pourquoi les cyberdéfenses sont insuffisantes

Les conclusions de l'étude de Lookout mettent en évidence des problèmes fondamentaux pour les organisations. D'une part, il existe un écart dangereux entre le niveau de préparation que les organisations pensent avoir atteint face aux menaces de sécurité et leur niveau de préparation réel. Cette confiance excessive peut conduire à des attaques réussies, même lorsque les équipes pensent être protégées. Les acteurs malveillants d'aujourd'hui veulent accéder discrètement aux données des entreprises, et le meilleur moyen d'y parvenir est d'utiliser le nom d'utilisateur et le mot de passe d'un employé. Comme ces acteurs savent que les terminaux mobiles ont toujours été négligés dans les stratégies de sécurité des terminaux, ils ciblent agressivement les employés sur leurs appareils iOS et Android afin de compromettre leurs identifiants.

L'une des tactiques les plus efficaces pour cibler les employés sur leur mobile est l'ingénierie sociale, qui est incroyablement efficace lorsqu'elle est utilisée via SMS, voix, applications de messagerie ou tout autre support mobile. Étant donné que les solutions de sécurité traditionnelles ne permettent pas de détecter ces attaques, la plupart de ces tentatives de manipulation passent tout simplement inaperçues jusqu'à ce qu'il soit trop tard, ce qui rend leur défense extrêmement difficile.


De même, les formations à la sécurité ne semblent pas non plus en mesure de suivre le rythme des tactiques modernes. Selon l'étude, alors que 68 % des organisations ont dispensé une formation en cybersécurité et que 28 % prévoient d'en dispenser une au cours des six prochains mois, le manque de formation est la principale raison pour laquelle les personnes interrogées pensent que les employés sont susceptibles de cliquer sur un lien suspect. Cela suggère que la formation actuelle n'est peut-être pas en phase avec l'évolution trop rapide des menaces sophistiquées.

« Que le problème réside dans le manque d'intérêt, la fréquence insuffisante ou l'évolution trop lente des formations, [les organisations] semblent incapables de préparer véritablement les employés aux menaces en constante évolution auxquelles elles sont confrontées aujourd'hui », peut-on lire dans l'étude de Lookout.

Stratégies concrètes pour un avenir plus sûr

Les données de Lookout montrent que les employés et leurs appareils mobiles sont clairement dans le collimateur des cybercriminels, ce qui représente la première étape de la chaîne de cyberattaques moderne qui aboutit finalement à la compromission des données. Pour relever ces défis urgents, Lookout insiste sur la nécessité pour les organisations d'adopter une approche multidimensionnelle afin de sécuriser les employés « en première ligne » et leurs appareils mobiles.

Pour gérer les menaces de base axées sur les appareils mobiles, l'étude préconise que les équipes de sécurité peuvent mettre en œuvre une solution de défense contre les menaces mobiles (MTD) afin de protéger les employés contre l'ingénierie sociale, le phishing, les logiciels malveillants et les attaques visant les appareils et les réseaux. Les solutions MTD doivent adopter une approche axée sur l'intelligence artificielle pour lutter contre les menaces en constante évolution qui bombardent les utilisateurs et les appareils mobiles.

Ils doivent ensuite obtenir la visibilité nécessaire sur des points de données plus stratégiques en matière de sécurité mobile, tels que les actifs vulnérables et l'analyse du trafic web, en intégrant la détection et la réponse aux incidents sur les terminaux mobiles (EDR) dans leurs solutions SIEM, SOAR, EDR ou XDR existantes. Selon Lookout, ces deux étapes permettront aux organisations d'obtenir la visibilité, la détection et la capacité d'action nécessaires pour se protéger contre les menaces modernes qui visent à exploiter le comportement humain.


Enfin, l'étude indique que les organisations doivent compléter les solutions modernes par une formation sophistiquée et continue à la sensibilisation à la sécurité, spécialement conçue pour les menaces centrées sur les mobiles, y compris des exercices simulés de phishing et d'ingénierie sociale qui reflètent les tactiques malveillantes actuelles. D'après Lookout, cette formation doit « favoriser une culture de vigilance et de signalement facile et sans jugement. »

Les résultats de cette enquête soulignent la nécessité cruciale pour les organisations de réévaluer leurs stratégies en matière de cybersécurité, en allant au-delà de la simple confiance pour mettre en œuvre des solutions robustes qui offrent une visibilité en temps réel et une protection proactive contre un paysage de menaces en constante évolution.

Alors que l'étude de Lookout met l'accent sur la confiance excessive en matière de cybersécurité des responsables de la sécurité, une précédente enquête de CyberArk a révélé que 65 % des employés admettent contourner les protocoles de sécurité pour gagner en efficacité. L'enquête souligne que les employés qui adoptent ce genre de comportement, et qui ont accès à des données sensibles et à des privilèges, exposent leur entreprise à différents risques, notamment des fuites de données sensibles.

À propos de Lookout

Lookout, Inc. est un leader mondialement reconnu dans le domaine de la cybersécurité qui offre une protection avancée contre l'élément le plus vulnérable de toute stratégie de sécurité d'entreprise : l'erreur humaine et la manipulation. Conçue pour le cloud, la plateforme Lookout offre un déploiement rapide et évolutif ainsi que des opérations de sécurité simplifiées, défendant ainsi la première ligne contre les attaques centrées sur l'humain : les appareils mobiles. Lookout Endpoint Detection and Response (EDR) surveille en permanence les terminaux mobiles à la recherche de signes d'attaques centrées sur l'humain, ainsi que de logiciels malveillants traditionnels, de vulnérabilités logicielles et d'autres activités anormales. La solution utilise des techniques avancées de détection des menaces, notamment l'intelligence artificielle (IA) et l'analyse comportementale, pour identifier les menaces avant qu'elles ne se propagent dans toute l'entreprise.

Source : Lookout

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de Lookout crédibles ou pertinentes ?

Voir aussi :

Les attaques par phishing ou hameçonnage de données d'identification ont augmenté de façon spectaculaire au cours du second semestre 2024, avec une hausse de 703 %, selon SlashNext

Le FBI met en garde contre les faux messages textes et les faux appels utilisant la technologie IA deepfake qui usurpent*l'identité de hauts fonctionnaires du gouvernement américain

86 % des employés pensent pouvoir identifier avec certitude les courriels de phishing, mais près de la moitié d'entre eux sont tombés dans le piège

Les employés de bureau comprennent le risque lié à la cybercriminalité mais ne changent pas leur comportement, 12 % des victimes ne prennent pas la sécurité plus au sérieux, selon BlueFort Security