Les organisations britanniques s’empressent de réprimander les victimes de phishing

Les organisations au Royaume-Uni sont nettement plus susceptibles que la moyenne mondiale de sanctionner ou de punir les employés qui se livrent à des attaques de phishing réelles ou simulées, et sont également plus susceptibles de prendre des mesures sévères, avec 42% infligeant des sanctions pécuniaires, contre 26% dans le monde, et 29% allant jusqu’à licencier des personnes en fonction de leurs interactions avec des attaques de phishing, contre 18 % dans le monde.

C’est l’une des conclusions les plus préoccupantes de la dernière édition annuelle de Proofpoint. État de l’hameçonnage , qui révèle de nouvelles informations sur la façon dont les attaques par e-mail en viennent à dominer le paysage des menaces d’un kilomètre et demi. Les données ont été rassemblées en partie à partir d’enquêtes commandées auprès de 600 professionnels de l’informatique et de la cybersécurité et de 3 500 employés réguliers en Australie, en France, en Allemagne, au Japon, en Espagne, au Royaume-Uni et aux États-Unis, ainsi que de près de 100 millions d’attaques de phishing simulées et de 15 millions d’e-mails de phishing signalés.

« Là où 2020 nous a appris la nécessité d’être agiles et réactifs face au changement, 2021 nous a appris la nécessité de mieux nous protéger », a déclaré Alan Lefort, vice-président principal et directeur général de la formation de sensibilisation à la sécurité chez Proofpoint.

« Comme le courrier électronique reste la méthode d’attaque préférée des cybercriminels, il est clairement utile de créer une culture de la sécurité », a-t-il déclaré. « Dans ce paysage de menaces en évolution et alors que le travail de n’importe où devient monnaie courante, il est essentiel que les organisations responsabilisent leurs employés et soutiennent leurs efforts pour apprendre et appliquer de nouvelles compétences cybernétiques, à la fois au travail et à la maison. »

Proofpoint a constaté que les attaquants étaient plus actifs en 2021 qu’en 2020, avec 78% des organisations voyant des attaques de ransomware basées sur le courrier électronique arriver l’année dernière et 77% voyant des attaques de compromission par courrier électronique professionnel (BEC), ce qui, selon Proofpoint, reflétait l’accent mis par les cybercriminels sur la compromission des personnes plutôt que sur les processus techniques. Les attaques de l’année dernière ont également eu plus d’impact, avec 83% des répondants signalant au moins une attaque de phishing réussie contre 57% en 2020.

Au Royaume-Uni, les choses étaient encore pires, avec 91% déclarant avoir fait face à de vastes attaques de phishing, et le même nombre a réussi à être compromis. Quelque 84% ont déclaré avoir vu au moins une attaque de ransomware par e-mail, et 81% ont vu une ou plusieurs attaques BEC.

Au total, 78% des organisations britanniques ont déclaré avoir dû faire face à au moins une infection par ransomware résultant d’une charge utile de courrier électronique directe, d’une livraison ou d’un exploit de logiciels malveillants de deuxième étape, dont 82% ont payé leurs attaquants dans une certaine mesure.

Les organisations britanniques sont également confrontées à des volumes élevés d’attaques d’ingénierie sociale non basées sur le courrier électronique, avec plus de 20% voyant plus de 50 attaques de smishing, de médias sociaux ou de vishing, et 78% faisant face à au moins une chute USB malveillante.

« Un nombre stupéfiant d’entreprises britanniques ont subi une attaque de phishing en 2021, et 91 % de ces attaques ont réussi », a déclaré Adenike Cosgrove, stratège internationale en cybersécurité chez Proofpoint.

« En outre, les professionnels de la sécurité au Royaume-Uni sont les plus susceptibles de faire face à des volumes élevés d’attaques d’ingénierie sociale non basées sur le courrier électronique. Cela aggrave le fait que le Royaume-Uni est confronté à des menaces sous tous les angles, mais la clé de la lutte contre ces menaces commence par les employés.

« Toutes ces attaques nécessitent une interaction humaine pour réussir, ce qui souligne la nécessité d’accroître la sensibilisation et la formation des employés en matière de sécurité. Par rapport à leurs homologues mondiaux, les travailleurs britanniques étaient les plus sensibilisés au terme « hameçonnage », ce qui est prometteur, mais à seulement 62%, nous avons encore du chemin à parcourir pour assurer la sécurité des entreprises.

Il a été constaté que les organisations britanniques surpassaient systématiquement la moyenne mondiale en matière de formation en cybersécurité du personnel, avec 59% fournissant une formation à tous les membres de l’organisation, contre 57% dans le monde, et 53% ont mené des exercices de formation spécifiques et personnalisés avec ceux qu’ils connaissent ou risquent davantage d’être ciblés.

En conséquence, a déclaré Proofpoint, les Britanniques avaient tendance à avoir une conscience plus élevée que la moyenne de la signification des termes et concepts clés de cybersécurité, tels que le phishing, le smishing, les logiciels malveillants et les ransomwares.