Nouvelle étude Ivanti : des équipes informatiques épuisées et des employés non préparés perdent la bataille contre le phishing. Près des trois quarts des entreprises ont été victimes d'une attaque de phishing au cours de l'année écoulée. Une raison : plus de la moitié souffrait d'une pénurie d'informaticiens.
Ivanti, la plate-forme d'automatisation qui découvre, gère, sécurise et entretient les actifs informatiques du cloud à la périphérie, a publié les résultats d'une récente enquête sur les attaques de phishing. La principale conclusion de l'étude : le déplacement mondial du travail vers des sites distants a considérablement augmenté à la fois le nombre d'attaques, leur sophistication et l'impact des attaques de phishing. Près des trois quarts (74 %) des répondants ont déclaré que leur organisation avait été victime d'une attaque de phishing au cours de l'année écoulée, 40 % ayant subi une attaque de phishing au cours du seul mois dernier. Pour cette étude, Ivanti a interrogé plus de 1.000 XNUMX professionnels de l'informatique dans des entreprises aux États-Unis, en Allemagne, au Royaume-Uni, en France, en Australie et au Japon.
Huit répondants sur dix : le hameçonnage a augmenté
Selon l'étude, le volume de tentatives de phishing a considérablement augmenté au cours de la dernière année. Huit répondants sur dix ont confirmé que le nombre de tentatives avait augmenté. 85% ont également noté que ces tentatives sont de plus en plus sophistiquées. Il est intéressant de noter que l'année dernière, les cybercriminels se sont particulièrement concentrés sur leur propre personnel informatique. Près des trois quarts des répondants (73 %) ont déclaré que le personnel informatique était spécifiquement ciblé par les tentatives de phishing. Pire encore, près de la moitié de ces tentatives (47 %) ont été couronnées de succès.
Escroqueries par smishing et vishing contre les utilisateurs mobiles
Les variantes récentes qui gagnent rapidement du terrain incluent les escroqueries par smishing et vishing qui ciblent spécifiquement les utilisateurs mobiles. Selon une étude récente d'Aberdeen, les attaques sur les appareils mobiles ont en fait un taux de réussite plus élevé que celles sur les serveurs - un schéma qui tend à s'aggraver considérablement. Selon cette enquête, le risque annualisé d'une violation de données due à des attaques de phishing mobile est d'environ 1,4 million d'euros avec une valeur à long terme d'environ 76 millions d'euros.
Les télétravailleurs toujours au centre des préoccupations
Dans l'Everywhere Workplace, les télétravailleurs utilisent plus que jamais les appareils mobiles pour accéder aux données de l'entreprise. Et les pirates se concentrent spécifiquement sur les failles de sécurité dans cet environnement. 37 % des personnes interrogées ont identifié un manque de technologie et de sensibilisation des employés comme la principale raison du succès des attaques de phishing. Cependant, la méconnaissance du danger par les employés domine clairement : 34 % y voient la principale raison des attaques réussies. Selon les informaticiens, presque toutes les entreprises (96 %) proposent des cours de formation en cybersécurité pour éduquer le personnel sur les attaques courantes telles que le phishing et les ransomwares. Cependant, avec un succès mitigé : Pas même un tiers (30%) des personnes interrogées affirment que la majorité des salariés (>80%) ont également suivi cette formation.
La pénurie de compétences informatiques amplifie l'impact
L'étude Ivanti a également révélé que la pénurie de talents informatiques amplifie encore l'impact des attaques de phishing. Plus de la moitié des personnes interrogées (52 %) ont confirmé que leur entreprise avait connu une pénurie de personnel au cours de l'année écoulée. Parmi ces répondants, 64 % ont identifié le manque de personnel comme une raison pour laquelle les incidents prennent trop de temps à résoudre. Avec moins d'employés, la capacité des équipes informatiques à résoudre rapidement les problèmes de sécurité est fortement limitée. Tout temps d'arrêt causé par un incident de sécurité coûte de l'argent à une organisation et nuit à la productivité : près de la moitié (46 %) pensent que l'augmentation des attaques de phishing est le résultat direct d'un manque de personnel.
« Réduire le risque d'attaques par hameçonnage est une course contre la montre, à plus d'un titre. Les professionnels de l'informatique d'entreprise doivent garder une longueur d'avance non seulement sur les attaquants qui créent constamment de nouvelles attaques, mais aussi sur leurs propres utilisateurs, qui cliquent sur des liens malveillants à un rythme alarmant », a déclaré Derek E. Brink, vice-président et chargé de recherche chez Aberdeen Strategy & Recherche. "Bien que de nombreuses organisations aient investi dans des initiatives de formation de sensibilisation à la sécurité, elles doivent également prioriser et adopter des technologies avancées d'automatisation, d'intelligence artificielle et d'apprentissage automatique. Cela permet d'identifier, de vérifier et de corriger les menaces de phishing plus rapidement et de manière plus cohérente. »
Hameçonnage : presque un professionnel sur deux a déjà été déjoué
« N'importe qui, quelle que soit son expérience ou ses connaissances en matière de cybersécurité, est vulnérable à une attaque de phishing. Après tout, l'enquête a montré que près de la moitié des professionnels de l'informatique ont été dépassés à un moment donné », explique Johannes Carl, Expert Manager PreSales – UEM chez Ivanti. « Pour lutter efficacement contre les attaques de phishing, les organisations doivent mettre en œuvre une stratégie de sécurité Zero Trust. Seulement, il inclut une gestion unifiée des terminaux avec des capacités de détection des menaces et d'anti-hameçonnage sur l'appareil. Les entreprises devraient également envisager de s'éloigner des mots de passe. En utilisant l'authentification sur les appareils mobiles avec accès biométrique, ils éliminent le principal problème des attaques de phishing. »
Plus sur Ivanti.com
À propos d'Ivanti La force de l'informatique unifiée. Ivanti connecte l'informatique aux opérations de sécurité de l'entreprise pour mieux gouverner et sécuriser le lieu de travail numérique. Nous identifions les actifs informatiques sur les PC, les appareils mobiles, les infrastructures virtualisées ou dans le centre de données - qu'ils soient sur site ou dans le cloud. Ivanti améliore la prestation de services informatiques et réduit les risques commerciaux grâce à son expertise et à des processus automatisés. En utilisant des technologies modernes dans l'entrepôt et sur l'ensemble de la chaîne d'approvisionnement, Ivanti aide les entreprises à améliorer leur capacité de livraison, sans modifier les systèmes backend.