Pourquoi GetApp est gratuit

Attaques par hameçonnage au Québec : comment les entreprises y font-elles face?

Publié le 2023-10-16 Rédigé par Smriti Arya.

Le monde du travail comptant désormais plus de travailleurs à distance et de travailleurs hybrides que jamais, les attaques de cybersécurité sont de plus en plus dévastatrices. GetApp a interrogé 57 employés et responsables ayant été victimes d'attaques par hameçonnage dans le cadre de leur travail afin de comprendre comment les entreprises gèrent ces incidents.

Augmentation des attaques par hameçonnage au Québec

Les attaques par hameçonnage semblent malheureusement augmenter, avec une hausse de 61 % (article en anglais) entre juin et octobre 2022, si l'on compare avec la même période de l'année précédente. Ces attaques sont conçues pour tromper les utilisateurs et les pousser à partager des informations confidentielles telles que des numéros de compte bancaire ou des données liées à l'entreprise.

Qu'est-ce qu'une attaque par hameçonnage?

Une attaque par hameçonnage (ou "phishing" en anglais) désigne un type de cyberattaque qui vise à tromper les utilisateurs et les inciter à télécharger des logiciels malveillants (définition en anglais), à fournir des données confidentielles ou à s'exposer (eux-mêmes ou leur entreprise) à des cybercriminels. Par exemple, les employés peuvent recevoir un courriel provenant d'un domaine similaire à celui de leur entreprise indiquant que leur mot de passe a expiré et qu'ils doivent le mettre à jour. On peut leur demander de cliquer sur un lien et de saisir leurs coordonnées personnelles ou professionnelles. Les cybercriminels peuvent ensuite vendre ces données ou s'en servir pour commettre des fraudes en ligne.

Aujourd'hui, les équipes se connectent généralement à plusieurs services et applications en ligne hébergés sur des réseaux publics ou privés. De fait, leurs informations sont plus vulnérables aux cyberattaques. Cependant, des outils tels que les logiciels de cybersécurité peuvent limiter les accès non autorisés aux informations stockées en ligne. 

Pour comprendre comment les entreprises québécoises sont affectées par les attaques par hameçonnage et les mesures de protection qu'elles déploient, nous avons interrogé 57 employés à temps plein ou à temps partiel qui utilisent des ordinateurs de bureau ou portables pour réaliser leurs tâches quotidiennes et qui ont été confrontés à une ou plusieurs attaques par hameçonnage au travail. Les participants à l'enquête ont été divisés en deux groupes : les employés d'un côté et les responsables ou cadres supérieurs de l'autre. Vous trouverez la méthodologie complète au bas de cet article.

Augmentation des attaques par hameçonnage au cours des trois dernières années

Selon Help Net Security, le nombre d'escroqueries par hameçonnage basées sur des courriels a augmenté de 464 % au cours du premier semestre 2023 par rapport à 2022. Nos résultats révèlent également que 32 % des personnes interrogées disent avoir noté une augmentation de plus de 40 % des attaques par hameçonnage au cours des trois dernières années.

Augmentation des attaques par hameçonnage au cours des trois dernières années

Le graphique ci-dessus illustre le fait que les attaques par hameçonnage gagnent du terrain au Québec et qu'elles peuvent constituer une menace pour les entreprises. 

Dans ce contexte, il est important pour les entreprises de repenser les mesures de cybersécurité afin d'éviter que de tels incidents ne se produisent, comme vous le lirez par la suite dans cet article.

Près de 9 personnes interrogées sur 10 ont été victimes d'une attaque par hameçonnage par courrier électronique

Les courriels sont généralement le premier point de communication pour tous les membres d'une entreprise. Dans le monde entier, on note une augmentation du nombre de courriers électroniques envoyés et reçus chaque jour. En 2022, environ 333 milliards de courriels ont été envoyés et reçus et ce chiffre devrait passer à 392,5 milliards d'ici 2026, selon Statista.

Bien que les cybercriminels puissent attaquer par différents canaux, les courriels constituent l'un des moyens les plus courants employés par ces pirates.

Types d'attaques par hameçonnage dont les personnes interrogées ont été victimes au travail

Comme l'indique ce graphique, près de 9 participants sur 10, tous groupes confondus, ont été visés par des attaques par hameçonnage par le biais de leur courrier électronique. Un logiciel de courriel sécurisé peut aider les entreprises à protéger leurs comptes de courrier électronique contre les fuites de données et les attaques par hameçonnage en filtrant les messages envoyés à partir d'adresses IP (définition en anglais) malveillantes ou en bloquant les liens intégrés dans les courriels.

Conseils aux entreprises pour lutter contre les courriels d'hameçonnage

  • Planifier des sauvegardes régulières : pensez à planifier des sauvegardes régulières de vos données pour qu'elles soient à tout moment récupérables. 
  • Activer l'authentification multifactorielle : déployez des solutions d'authentification à double facteur pour empêcher les cyberpirates de se connecter à des comptes de messagerie, même s'ils ont accès à un seul mot de passe. 
  • Appliquer des politiques de sécurité pour le télétravail : établissez des politiques de sécurité pour vos équipes à distance. Exigez que toute personne devant se connecter au serveur de l'entreprise le fasse à l'aide d'un VPN pour travailler en toute sécurité et limiter l'accès aux sites suspects.

Types d'attaques par hameçonnage dont les personnes interrogées ont été victimes au travail

Les attaques par hameçonnage visent souvent à inciter les victimes à révéler des données de connexion ou des informations confidentielles. Ces tentatives peuvent prendre diverses formes, en envoyant un lien vers un faux site web ou en demandant aux utilisateurs de mettre à jour leurs mots de passe. 

Nous avons voulu en savoir plus sur le type d'attaque dont nos participants ont été victimes.

  • 53 % des personnes interrogées ont été confrontées à des attaques où les cybercriminels se font passer pour une entreprise de confiance. 
  • 47 % des personnes interrogées déclarent avoir reçu de fausses alertes de livraison de colis indiquant qu'un paquet est prêt à être livré. On les invite ensuite à saisir des informations sensibles telles que leur adresse ou leurs informations de paiement pour procéder à la livraison. 
  • 40 % des personnes interrogées ont été victimes d'attaques où les pirates se font passer pour des fonctionnaires afin de leur soutirer de l'argent ou des informations personnelles.
  • 39 % des personnes interrogées ont été victimes de tentatives d’hameçonnage au travail, où des cyberpirates prétendent travailler pour une banque pour solliciter des informations sensibles 
  • 25 % des personnes interrogées disent avoir été victimes d'une attaque au cours de laquelle un agent malveillant s'est fait passer pour un collègue afin de les inciter à fournir des informations sensibles sur un projet ou un client.

Quels sont les types d'attaques par hameçonnage les plus répandus?

1. Hameçonnage par usurpation
Aussi appelé "spear phishing" en anglais, ce type d’hameçonnage désigne une attaque via laquelle les cybercriminels tentent de dérober des informations en usurpant l'identité d'une entreprise ou d'une personne de confiance. Par exemple, les employés peuvent recevoir un courriel d'une personne se faisant passer pour un collaborateur afin de leur soutirer des informations sensibles sur l'entreprise. 

2. Hameçonnage par ingénierie sociale
Ici, l'escroc manipule psychologiquement sa cible afin de l'amener à fournir des informations sensibles ou à outrepasser des procédures de sécurité. Par exemple, les criminels peuvent se faire passer pour des ouvriers du bâtiment et demander à leur cible de les autoriser à entrer dans des zones restreintes en créant un scénario faisant appel aux émotions. 

3. L'hameçonnage par fenêtre intempestive
Ce type d'attaque affiche des fenêtres intempestives à l'écran pour inciter les victimes à télécharger des logiciels malveillants. Par exemple, un employé connecté à Internet voit s'afficher une fenêtre publicitaire indiquant que son ordinateur a été infecté par un virus. Afin de protéger son ordinateur, la victime est amenée à installer des logiciels (en réalité, des logiciels malveillants), capables de voler des données précieuses.

Comme il existe une myriade de moyens pour voler les informations confidentielles ou les fonds d'une organisation, les entreprises peuvent ne pas être en mesure d'arrêter toutes les tentatives d'hameçonnage, mais il est possible d'en réduire les risques. Toute PME devrait mettre en place des programmes de sensibilisation à la sécurité au travail afin de s'assurer que les employés sont capables de distinguer un courrier malveillant d'un courriel valide.

4 façons de protéger votre entreprise contre les attaques par hameçonnage

Les données recueillies dans le cadre de notre enquête révèlent que les attaques par hameçonnage sont de plus en plus répandues au Québec et constituent un risque important pour les entreprises. Bien qu'il soit impossible d'éliminer complètement les risques d'attaques, on peut implémenter de bonnes pratiques pour réduire les risques. 

Voici comment vous pouvez vous protéger :

1. Protégez tous les ordinateurs de bureau avec des logiciels de cybersécurité
Faites-les installer sur tous les ordinateurs de bureau ou portables et veillez à ce qu'ils soient mis à jour.

2. Organisez des programmes de sensibilisation à la sécurité

Formez vos équipes afin qu'elles soient capables d'identifier les attaques par hameçonnage et de les signaler. Notre enquête a d'ailleurs révélé que 76 % des employés interrogés ont déclaré que leur entreprise avait déployé de tels programmes.

3. Modifiez régulièrement les mots de passe 

Appliquez des politiques internes pour obliger les employés à changer leurs mots de passe de façon régulière. C'est le meilleur moyen de limiter les risques de vols de données. 

4. Limitez l'accès aux informations confidentielles
Veillez à ce que votre entreprise contrôle en permanence l'accès aux données. Afin de réduire les risques de violation de données, les entreprises devraient autoriser uniquement les membres de confiance à accéder à leurs données sensibles. 

Dans le deuxième article de cette série, nous verrons comment les entreprises québécoises investissent dans des logiciels anti-hameçonnage et quelles sont les autres mesures qu'elles déploient pour se protéger contre ces attaques.

Vous cherchez un logiciel de cybersécurité? Consultez notre catalogue!


Méthodologie

Pour collecter ces données, GetApp a interrogé 57 employés d'entreprises québécoises en août 2023. 

Pour être éligibles, les candidats devaient répondre aux critères suivants :

  • Réside au Québec
  • Âgé(e) de 18 à 65 ans
  • Travaille à temps plein ou à temps partiel dans une entreprise et utilise toujours ou parfois un ordinateur portable ou de bureau pour effectuer des tâches quotidiennes au travail 
  • Capable de reconnaître la définition correcte d'une attaque par hameçonnage après présentation de la définition suivante : "L'hameçonnage est un type courant de cyberattaque qui cible les individus par le biais de courriels, de SMS, d'appels téléphoniques et d'autres canaux, généralement en usurpant l'identité d'expéditeurs connus du destinataire (entreprises de livraison de colis, loteries, entités publiques, etc.) Une attaque par hameçonnage vise à tromper le destinataire et de l'amener à réaliser une action bénéfique au cyberpirate, comme partager des informations financières, des identifiants de connexion à un système ou d'autres informations sensibles. Les attaques par hameçonnage sont très souvent menées contre les entreprises par l'intermédiaire de leurs employés."
  • Connaissait l'existence des attaques par hameçonnage avant de lire la définition mentionnée plus haut  
  • Victime d'une ou de plusieurs attaques par hameçonnage au travail


Cet article peut faire référence à des produits, programmes ou services qui ne sont pas disponibles dans votre pays, ou qui peuvent être limités par les lois ou règlements de votre pays. Nous vous suggérons de consulter directement l'éditeur du logiciel pour obtenir des informations sur la disponibilité du produit et le respect des lois locales.

À propos de l'auteur(e)

Smriti est analyste de contenu pour le Canada, aidant les PME à obtenir des informations clés sur les logiciels, les affaires et les tendances technologiques.

Smriti est analyste de contenu pour le Canada, aidant les PME à obtenir des informations clés sur les logiciels, les affaires et les tendances technologiques.