Les cyberpirates imaginent sans cesse de nouvelles méthodes pour tromper les utilisateurs et les inciter à réaliser des actions susceptibles de nuire à leur réputation ou d'entraîner des pertes financières. Cependant, le déploiement de mesures adéquates et l'identification des attaques par hameçonnage peuvent protéger les utilisateurs contre ces criminels du web. GetApp a interrogé 457 employés et responsables qui ont été confrontés au moins une fois à des attaques par hameçonnage afin de comprendre comment ils protègent leur entreprise contre ce type d'escroqueries.
Ce dont nous allons parler
- Au total, 90 % des cadres supérieurs interrogés considèrent que les attaques par hameçonnage constituent une source de préoccupation
- Plus de la moitié des cadres supérieurs interrogés disent avoir mis en place un logiciel anti-hameçonnage
- Les cadres supérieurs mettent régulièrement à jour les logiciels de cybersécurité et utilisent des antivirus
- À quelle fréquence les personnes interrogées actualisent-elles leurs mots de passe au travail?
- Organisez des formations pour prévenir les attaques par hameçonnage
L'utilisation croissante d'Internet et de nombreuses plateformes en ligne peut permettre aux cyberpirates de cibler plus facilement les internautes à l'aide de faux sites et de messages frauduleux. Ils sont généralement conçus pour inciter les utilisateurs à télécharger des virus ou à fournir des informations sensibles. En dépit du développement de diverses solutions de cybersécurité, les attaques par hameçonnage ne cessent d'augmenter et s'avèrent de plus en plus difficiles à détecter, comme nous l'avons vu dans la première partie de cette enquête.
Cela peut s'expliquer par le fait que les attaques par hameçonnage s'appuient souvent sur des méthodes d'ingénierie sociale, qui consistent à se faire passer pour une entité de confiance ou à générer un sentiment d'urgence factice, créé de toutes pièces. En proie à ces manipulations psychologiques, les utilisateurs ne reconnaissent pas toujours les escroqueries par hameçonnage, même s'ils utilisent des outils de sécurité tels que des antivirus.
Dans ce contexte, les entreprises devraient disposer de stratégies spécifiques et prendre des mesures adéquates pour sensibiliser leurs équipes à ces attaques. Nous avons interrogé 457 employés et responsables au Canada et 57 employés et responsables au Québec qui utilisent quotidiennement des ordinateurs de bureau ou portables pour en savoir plus sur la manière dont ils se protègent contre de telles attaques. Vous trouverez la méthodologie complète au bas de cet article.
Au total, 90 % des cadres supérieurs interrogés considèrent que les attaques par hameçonnage constituent une source de préoccupation
En juillet 2023,un intrus a eu accès aux informations de base des membres du programme de fidélité Petro-Points lors d'un incident de cybersécurité ayant touché l'entreprise Petro-Canada. L'entreprise a réagi en envoyant un courrier électronique à ses clients pour leur demander de se méfier de tout courriel ou message inhabituel. Cela a sûrement suscité de la méfiance chez les clients et endommagé la réputation de l'entreprise.
Ce type d'incident montre que toute organisation peut être la proie d'attaques par hameçonnage élaborées. Notre enquête révèle également qu'un total de 90 % des personnes interrogées qui se sont identifiées comme des cadres supérieurs, des cadres dirigeants et des propriétaires (que nous appellerons cadres supérieurs pour plus de clarté) s'inquiètent d'une façon ou d'une autre de la possibilité d'une attaque par hameçonnage.
Seuls 10 % des cadres supérieurs interrogés se disent pas du tout préoccupés par les attaques par hameçonnage. En toute logique, cela suggère que les escroqueries par hameçonnage constituent une source d'inquiétude importante pour la plupart des cadres supérieurs interrogés. Les entreprises devraient donc préparer leurs équipes pour qu'elles puissent reconnaître une attaque de ce type et y réagir de manière adéquate.
Quant à la fréquence de ces incidents, Cat Coode, stratège spécialisé dans les données et de protection de la vie privée chez Binary Tattoo, une société de cybersécurité basée à Waterloo, dans l'Ontario, explique : "La question, ce n'est pas de savoir si vous allez être victime d'une attaque, mais quand" (article en anglais).
8 cadres supérieurs sur 10 estiment que les entreprises proposant le travail à distance ou un mode de travail hybride sont plus exposées aux attaques par hameçonnage
Avec environ 31 % des Canadiens qui travaillent à distance et qui ont l'habitude de partager, de conserver ou de consulter des données en ligne où qu'ils se trouvent, ces entreprises pourraient en effet être plus vulnérables aux attaques par hameçonnage ou aux vols de données. Notre enquête révèle que 80 % des cadres supérieurs interrogés pensent que les entreprises opérant à distance ou en mode hybride représentent une menace sérieuse pour l'ensemble du marché.
Voici quelques conseils à l'intention des entreprises qui emploient des équipes à distance ou en hybride pour lutter contre les attaques par hameçonnage :
- Définissez des politiques globales en matière de travail à distance : établissez des recommandations claires pour les équipes à distance, que ce soit sur la possibilité de travailler à distance, l'organisation du travail et les mesures de cybersécurité requises. L'utilisation de mots de passe forts, l'installation de la sécurité SSL (définition en anglais) et les réseaux privés virtuels (VPN) peuvent également être inclus dans la politique de travail.
- Activez le cryptage des informations sensibles : le cryptage des données est une pratique incontournable déjà en règle générale, mais elle l'est d'autant plus pour les employés qui travaillent à distance ou en mode hybride. Veillez à ce que les données échangées entre les serveurs de l'entreprise et les bureaux distants soient chiffrées lorsqu'elles sont transférées d'un site à l'autre sur le réseau.
- Permettez le contrôle d'accès et l'authentification multifactorielle : vous avez tout intérêt à assurer un contrôle d'accès strict. Activez l'authentification multifactorielle en tant que couche de sécurité additionnelle, car elle nécessite au moins deux méthodes d'authentification. Cela signifie que même si un mot de passe est compromis, les cyberpirates ne pourront pas accéder aux données puisqu'ils devront se connecter via différents appareils.
Plus de la moitié des cadres supérieurs interrogés disent avoir mis en place un logiciel anti-hameçonnage
Un logiciel anti-hameçonnage pourrait faire partie des méthodes pour prévenir les attaques d'hameçonnage. Ces outils sont conçus pour identifier les données ou les messages suspects inclus dans les courriels, les liens ou les fenêtres contextuelles. Ces logiciels comprennent généralement différents programmes tels que des pare-feu, des antivirus et des logiciels de messagerie sécurisée.
Parmi les cadres supérieurs interrogés, 55 % ont indiqué que leur entreprise disposait d'un logiciel anti-hameçonnage, contre 36 % qui n'en disposaient pas et 9 % qui n'en étaient pas sûrs. Parmi les personnes interrogées ayant admis avoir un logiciel anti-hameçonnage dans leur organisation, un pourcentage significatif pense que cet outil peut les aider à se défendre contre les attaques par hameçonnage.
En effet, parmi ceux qui font partie de ces entreprises, 63 % des personnes interrogées pensent que le logiciel prévient régulièrement les attaques par hameçonnage, tandis que 33 % déclarent que ce n'est le cas que de temps en temps. Quand on étudie ces chiffres, on peut penser que les entreprises ne devraient pas se contenter de compter sur ces logiciels pour garantir leur protection, mais qu'elles devraient également déployer d'autres mesures pour renforcer la sécurité.
Dans la section suivante, nous verrons combien les entreprises prévoient de dépenser en logiciels anti-hameçonnage dans les années à venir.
Les dépenses consacrées aux logiciels anti hameçonnage devraient augmenter dans une certaine mesure
Le marché mondial des logiciels anti-pourriel devrait atteindre 20,33 milliards de dollars américains d'ici 2030, contre 4,61 milliards de dollars américains en 2022. Avec un taux de croissance annuel composé de 21,6 % entre 2023 et 2030, la forte prévalence des attaques par hameçonnage ou des cybercrimes a peut-être contribué à une telle croissance.
Nous avons également demandé aux personnes interrogées utilisant un logiciel anti-hameçonnage comment elles envisagent l'évolution des dépenses pour ce type de logiciel au cours des deux prochaines années.
Au total, 52 % des cadres supérieurs interrogés déclarent que leurs dépenses devraient augmenter au cours des deux prochaines années, contre 18 % qui indiquent que les dépenses devraient diminuer. On peut donc s'attendre à une augmentation de la demande de logiciels anti-hameçonnage dans un futur proche.
Que faut-il prendre en compte au moment de choisir un logiciel anti-hameçonnage?
Si vous n'avez pas de logiciel déjà installé ou si vous envisagez de passer à un autre outil, prenez en compte les facteurs suivants pour sélectionner le logiciel anti-hameçonnage le mieux adapté aux besoins de votre entreprise.
- Outil anti-hameçonnage pour garantir la sécurité du courrier électronique : dans la première partie de cette enquête, nous avons découvert que les courriels constituent la source la plus courante d'attaques par hameçonnage. Si votre entreprise reçoit également de telles attaques par courrier électronique, cherchez des solutions anti-hameçonnage conçues pour renforcer la sécurité de votre messagerie. Un tel logiciel doit comporter des fonctions telles que la capacité d'analyser les pièces jointes suspectes, l'identification par intelligence artificielle des tentatives de compromission de messagerie d’entreprise (BEC, Business Email Compromise), et l'analyse des liens d'hameçonnage potentiels.
- Logiciel anti-hameçonnage pour les appareils mobiles : les entreprises qui travaillent à distance ou en mode hybride doivent disposer de solutions anti-hameçonnage pour protéger leurs informations et les données sensibles des équipes, qui sont généralement échangées par le biais d'applications mobiles.
- Solutions anti hameçonnage pour les applications de productivité : malheureusement, les cyberpirates peuvent également cibler les applications dédiées à l'augmentation de la productivité. Comme ces applications permettent aux employés de partager des liens, un agent mal intentionné peut les pirater et partager des liens malveillants avec les utilisateurs. Les entreprises peuvent donc avoir besoin d'un logiciel anti-hameçonnage qui offre également une sécurité au niveau de ce type d'application.
Il convient naturellement de sélectionner le logiciel le plus à même de répondre aux besoins spécifiques de l'entreprise.
Les cadres supérieurs mettent régulièrement à jour les logiciels de cybersécurité et utilisent des antivirus
Les opérations commerciales nécessitent généralement d'échanger des données sur les clients. En garantissant la sécurité de ces données, une entreprise peut susciter davantage de confiance auprès de ses clients et ses partenaires. Pour protéger les informations sensibles, les organisations doivent déployer certaines mesures. Lorsque nous avons questionné les cadres supérieurs au sujet des mesures prises pour garantir la sécurité des données au sein de l'entreprise, voici ce qu'ils nous ont répondu :
- 73 % des cadres supérieurs interrogés déclarent mettre à jour régulièrement leurs logiciels de cybersécurité.
- 72 % utilisent des antivirus et sécurisent leurs données à l'aide d'outils de cryptage
- 61 % disent suivre toutes les règles de sécurité appliquées à la messagerie électronique pour protéger les données.
- 57 % mettent régulièrement à jour les logiciels de l'entreprise pour garantir la sécurité des données.
- De plus, 52 % des personnes interrogées disent adhérer à la politique des mots de passe forts.
Nous avons demandé à ce même groupe de personnes quelles mesures ils avaient prises pour garantir un environnement de travail sécurisé.
Seulement 2 % des personnes interrogées indiquent que leur entreprise ne suit aucune mesure pour garantir un environnement sécurisé, ce qui illustre bien la prise de conscience et la nécessité pour toutes les entreprises de sécuriser au plus vite leurs données. Pour cela, il faut actualiser les logiciels régulièrement, utiliser un réseau virtuel privé pour protéger les données, activer l'authentification multifactorielle et organiser des formations de sensibilisation à la sécurité, entre autres.
À quelle fréquence les personnes interrogées actualisent-elles leurs mots de passe au travail?
La création d'un mot de passe fort composé d'une combinaison de lettres majuscules, de chiffres, de lettres minuscules et de caractères spéciaux est considérée comme une pratique incontournable par le gouvernement du Canada.
Pour approfondir le sujet, nous avons également demandé à tous les individus interrogés (employés et cadres supérieurs) à quelle fréquence ils modifiaient leurs mots de passe au travail.
Comme 6 % des participants au Canada changent leur mot de passe moins d'une fois par an, contre 2 % au Québec, on peut supposer que ces derniers changent leur mot de passe plus fréquemment que les résidents d'autres provinces.
Si l'on creuse les raisons pour lesquelles ils modifient leurs mots de passe au travail, près de la moitié des participants (52 %) ayant modifié leurs mots de passe ont indiqué que c'était obligatoire au sein de l'entreprise.
Quelques bonnes pratiques pour appliquer une politique de mot de passe solide
- Assurez-vous que les équipes utilisent un mot de passe unique pour chaque compte professionnel. En conservant le même mot de passe pour tous les comptes, les utilisateurs sont plus vulnérables à une attaque capable d'accéder à plusieurs comptes en même temps.
- Encouragez les employés à actualiser leurs mots de passe à un intervalle donné. Par exemple, le gouvernement canadien recommande de modifier leurs mots de passe tous les trois mois.
- Utilisez des gestionnaires de mots de passe qui permettent de conserver tous les mots de passe utilisés et de générer des mots de passe aléatoires forts pour sécuriser les données.
Organisez des formations pour prévenir les attaques par hameçonnage
S'il n'est pas possible d'éliminer complètement le risque d'une attaque par hameçonnage, l'application de certaines bonnes pratiques peut aider les entreprises à en minimiser l'impact. Afin de mettre en place toutes les mesures de sécurité requises sur le lieu de travail, il peut être nécessaire pour les entreprises de former leurs équipes pour qu'elles sachent comment garantir la sécurité des données.
Dans ce contexte, nous avons demandé aux cadres supérieurs ayant mis en place des programmes de sensibilisation au hameçonnage dans leur entreprise, ce qu'ils pensaient de ce type de formation. 88 % des personnes interrogées pensent que la formation avait mené à une diminution des attaques par hameçonnage menées à bien, tandis que 9 % ont indiqué que les attaques n'avaient pas diminué depuis la mise à disposition de la formation.
Ces chiffres illustrent le fait que les programmes de sensibilisation au hameçonnage ne sont utiles que si elles sont mises en œuvre de manière appropriée.
Méthodologie
Les données de l'enquête 2023 de GetApp sur les attaques par hameçonnage ont été collectées en août 2023. Nous avons recueilli les réponses de 457 personnes, dont 347 employés et 110 cadres supérieurs, dirigeants ou propriétaires résidant au Canada. En outre, les données spécifiques au Québec concernent 57 individus, dont 37 employés et 20 cadres supérieurs, cadres dirigeants ou propriétaires au Québec. Pour être éligibles, les candidats devaient répondre aux critères suivants :
- Réside au Canada
- Âgé(e) de 18 à 65 ans
- Travaille à temps plein ou à temps partiel dans une entreprise et doit utiliser toujours ou parfois un ordinateur portable ou de bureau pour effectuer des tâches quotidiennes au travail
- Capable de reconnaître la définition correcte d'une attaque par hameçonnage après qu'une définition lui ait été montrée : "L'hameçonnage est un type courant de cyberattaque qui cible les individus par le biais de courriels, de SMS, d'appels téléphoniques et d'autres canaux, généralement en usurpant l'identité d'expéditeurs connus du destinataire (entreprises de livraison de colis, loteries, entités publiques, etc.) Une attaque par hameçonnage vise à tromper le destinataire et de l'amener à réaliser une action bénéfique au cyberpirate, comme partager des informations financières, des identifiants de connexion à un système ou d'autres informations sensibles. Les attaques par hameçonnage sont très souvent menées contre les entreprises par l'intermédiaire de leurs employés."
- Connaissait l'existence des attaques par hameçonnage avant de lire la définition mentionnée plus haut
- Victime d'une ou de plusieurs attaques par hameçonnage au travail