samedi, août 13, 2022

Un employé non formé sur trois cliquera sur un lien de phishing (rapport d’analyse KnowBe4)

0 commentaire

KnowBe4 le fournisseur de la plus grande plateforme de formation à la sécurité et de simulation de phishing au monde, a publié le nouveau Rapport 2022 d’analyse comparative par industrie du Phishing pour mesurer le pourcentage Phish-proneTM (PPP) d’une organisation, qui indique combien de ses employés sont susceptibles de tomber dans le phishing ou une arnaque d’ingénierie sociale.

Avec des paiements de rançongiciels s’élevant en moyenne à 580 000 dollars en 2021 et des pertes liées à la compromission des e-mails professionnels (BEC) atteignant 1,8 milliard de dollars en 2020, une cyberattaque peut faire des ravages dans une organisation. Pourtant, selon les tests de référence effectués pour le rapport, sans formation à la sécurité, tous secteurs confondus, 32,4 % des employés sont susceptibles de cliquer sur un lien suspect ou de répondre à une demande frauduleuse. Dans certaines grandes catégories d’industries, comme le conseil, l’énergie et les services publics, ainsi que les soins de santé et les produits pharmaceutiques, le pourcentage est supérieur à 50 %.

La région africaine n’affiche que des résultats légèrement meilleurs, avec 31,4 % d’employés non formés susceptibles de cliquer sur un lien suspect ou d’accéder à une demande frauduleuse, tous secteurs et toutes tailles d’organisations confondus, et 32,4 % dans les grandes organisations (plus de 1 000 employés).

KnowBe4 a analysé un ensemble de données comprenant plus de 9,5 millions d’utilisateurs dans 30 173 organisations, avec plus de 23,4 millions de tests de sécurité simulés de phishing dans 19 secteurs différents. Le « Phish-proneTM Percentage (PPP) » de référence qui en résulte mesure le pourcentage d’employés d’organisations n’ayant pas suivi de formation à la sécurité KnowBe4, qui ont cliqué sur le lien d’un e-mail de phishing simulé ou ouvert une pièce jointe infectée pendant le test.

Lorsque les organisations ont mis en œuvre une combinaison de formations et de tests de sécurité par hameçonnage simulé après leur mesure initiale de référence, les résultats ont changé de façon spectaculaire. Dans les 90 jours qui ont suivi la formation mensuelle ou plus fréquente à la sécurité, le PPP moyen a diminué à 17,6 %. Après douze mois de formation à la sécurité et de tests de sécurité par hameçonnage simulé, le PPP moyen est tombé à cinq pour cent, ce qui indique que les nouvelles habitudes deviennent normales, favorisant une culture de sécurité plus forte.

Dans les organisations africaines, après 90 jours de formation à la cybersécurité, le PPP moyen tombe à 18,8 %, un chiffre qui reste supérieur au taux mondial pour cette étape, les petites organisations de 1 à 249 employés présentant la plus grande susceptibilité pour cette étape, avec un PPP de 24,8 %. Le rapport note que l’Afrique est confrontée à un éventail croissant de cybermenaces provenant de l’espionnage, du sabotage des infrastructures critiques et du crime organisé. Elle constate également une pénurie de compétences, avec un déficit croissant de 100 000 personnes en professionnels certifiés de la cybersécurité.

Le Rapport 2022 d’analyse comparative par industrie du Phishing souligne le fait que si la technologie joue un rôle important dans la prévention et la récupération d’une attaque, les organisations ne peuvent se permettre d’ignorer le facteur humain. Le rapport 2022 de Verizon sur les enquêtes relatives aux violations de données indique que 82 % des violations survenues cette année impliquaient l’élément humain.

« Dans des secteurs critiques tels que l’énergie et les services publics ainsi que les soins de santé et les produits pharmaceutiques, où des vies peuvent être gravement touchées, nous avons constaté des niveaux particulièrement élevés de risque de cybersécurité à la suite d’échecs de tests d’hameçonnage simulés », a déclaré Stu Sjouwerman, PDG de KnowBe4. « Compte tenu du coût élevé des cyberattaques, cette situation est très préoccupante. Étant donné que la plupart des violations de données ont pour origine l’ingénierie sociale, nous ne pouvons pas nous permettre d’omettre l’élément humain. La mise en œuvre d’une formation de sensibilisation à la sécurité avec des tests de phishing simulés contribuera à mieux protéger les organisations contre les cyber-attaques et se traduira par une culture organisationnelle plus sûre. »