Chiffres clés ,Phishing

10 statistiques sur le phishing

Déc 1, 2023
8
Minute Read

Le phishing ou hameçonnage est une forme d’escroquerie en ligne où les fraudeurs usurpent l’identité d’entités fiables telles que des services en ligne pour obtenir des informations sensibles comme les identifiants de connexion ou les données bancaires des utilisateurs.

Initialement, cette méthode reposait principalement sur des emails frauduleux, mais elle s’est sophistiquée avec le temps, adoptant des tactiques plus élaborées et ciblées.

Cette évolution a rendu le phishing plus dangereux et difficile à détecter, augmentant ainsi le risque pour la sécurité en ligne des utilisateurs. Pour mieux saisir l’ampleur et l’impact de cette cyber menace, voici 10 statistiques sur le phishing.

Le phishing reste le premier vecteur de cyberattaque en France

D’après le baromètre annuel du CESIN, 74% des sociétés identifient le phishing comme le principal moyen d’attaque. Parallèlement, 45% des entreprises identifient l’exploitation de failles de sécurité comme une menace majeure.

Face à la croissance des menaces cyber, les entreprises sont appelées à renforcer leur défense pour protéger leurs systèmes et informations notamment avec :

  • Mise à jour régulière des systèmes : Maintenir les logiciels et les systèmes d’exploitation à jour est essentiel pour corriger les vulnérabilités connues, ce qui réduit les opportunités pour les cybercriminels de profiter de failles de sécurité.
  • Authentification multi-facteurs (AMF) : L’AMF ajoute une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent une deuxième forme d’identification, comme un code généré par une application ou reçu par SMS, en plus de leur mot de passe. Cela rend plus difficile pour les attaquants d’accéder aux comptes même s’ils ont obtenu les identifiants.

562,4 millions d’emails de phishing au 1er trimestre 2023

Au cours du premier trimestre de l’année 2023, un nombre impressionnant de 562,4 millions d’emails de phishing uniques ont été recensés selon une étude de Vade, une entreprise spécialisée dans les solutions de cybersécurité.

Il s’agit d’une augmentation de 102 % des attaques par rapport à la période précédente, marquant ainsi une recrudescence significative.

Un exemple frappant de cette sophistication est une campagne ciblant Microsoft 365. Les utilisateurs reçoivent un email leur indiquant que leur mot de passe a expiré et les incitant à cliquer sur un lien pour le conserver.

La nouveauté de cette cyberattaque est l’utilisation d’un lien d’attribution Youtube combiné à un CAPTCHA Cloudfare qui permet de déjouer les filtres anti-phishing traditionnels et de rediriger la victime sur une page de phishing.

Les télétravailleurs sont plus exposés aux emails de phishing

Depuis la crise du COVID-19, le télétravail s’est considérablement répandu, devenant une pratique courante dans de nombreuses entreprises. Toutefois, cette transition introduit des vulnérabilités en matière de cybersécurité.

D’après l’étude Human Risk Review de SoSafe, une société spécialiste en cybersécurité, les télétravailleurs sont trois fois plus susceptibles de cliquer sur des liens de phishing que leurs homologues en bureau.

De plus, la plupart des experts IT voient le travail hybride augmenter les risques pour les organisations. 90% observent une dégradation de la sécurité, principalement due au télétravail.

Il est donc recommandé pour les entreprises de mettre en place des solutions de sécurité avancées, telles que des filtres d’emails et des systèmes de détection d’intrusion, pour identifier et bloquer ces attaques.

32 % des pièces jointes malveillantes sont masquées sous la forme d’un fichier de type Microsoft Office

Selon le Threat Insights Report de la société HP, 32 % des pièces jointes malveillantes sont dissimulées en fichiers Microsoft Office, comme des documents Word, des feuilles de calcul Excel ou des présentations PowerPoint.

Les fichiers Microsoft Office, couramment utilisés dans le milieu professionnel, constituent des cibles privilégiées pour les attaquants. Les cybercriminels y insèrent souvent des scripts nuisibles ou des macros, activés à l’ouverture du document par la victime. Ces scripts peuvent alors télécharger et lancer des malwares, tels que des ransomwares, sur l’ordinateur de l’utilisateur.

Un tiers des employés ne comprend pas les termes « phishing » et « malware »

Même si de plus en plus d’employés sensibilisés aux risques cyber, une compréhension approfondie fait encore défaut dans de nombreuses organisations.

C’est ce que révèle le rapport 2023 State of the Phish de l’entreprise leader en cybersécurité ProofPoint, regroupant 7500 participants, venant de 15 pays différents. Les données montrent qu’un tiers des participants n’ont pas réussi à définir correctement des termes comme « phishing » et « malware ». Il y a aussi une méconnaissance des termes ransomware, smishing (SMS phishing) et vishing (Voice phishing) où environ deux tiers des répondants n’ont pas répondu correctement.

Les entreprises doivent réagir et mettre en place des exercices de simulation et des campagnes de phishing. Cela permet de sensibiliser davantage les employés aux différentes formes d’attaques et renforcer leurs compétences dans l’identification et la réaction face aux tentatives de ces cyber menaces.

ChatGPT augmente la vitesse de création des emails de phishing de 40%

ChatGPT, DALL-E, ou encore Chatsonic, les IA génératives sont désormais capables de produire du contenu complexe et varié rendant la distinction entre travail humain et création artificielle de plus en plus floue.

Cependant, elle pose également des risques en matière de cybersécurité, car les cybercriminels peuvent l’exploiter pour développer des attaques de phishing plus sophistiquées et difficiles à détecter.

Toujours selon Human Risk Review de SoSafe, les emails de phishing peuvent être élaborés 40% plus vite en utilisant ChatGPT augmentant significativement l’efficacité et la portée de leurs opérations malveillantes.

44% des utilisateurs jugent les emails sûrs s’ils reconnaissent la marque

Toujours selon le rapport State of the Phish 2023 de Proofpoint, 44% des travailleurs interrogés estiment qu’un email est fiable lorsqu’il arbore le logo d’une marque familière.

Malheureusement, cette confiance est souvent exploitée par les cybercriminels qui n’hésitent pas à imiter les identités visuelles de grandes entreprises pour commettre des fraudes.

Si Recemment, environ 30 millions d’emails frauduleux se sont fait passer pour la marque Microsoft, d’autres entreprises tel que Amazon, Docusign, Google ou encore Adobe ont été victimes d’usurpation d’identité.

89% des emails indésirables contournent les contrôles de messagerie

Dans son Rapport sur les menaces de phishing en 2023, la société Cloudflare leader des services cloud de connectivité, révèle que 89 % des messages indésirables parviennent à contourner les contrôles SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ou DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Par exemple, DKIM ne protège pas contre les attaques par rejeu, qui consiste en la capture d’un message avec une signature DKIM valide, puis sa réémission pour faire croire au réseau que ce message est légitime.

DMARC, de son côté, n’est pas efficace contre l’usurpation de domaines appartenant à d’autres entreprises. Enfin ces méthodes de contrôles, en se concentrant sur la configuration du domaine de l’expéditeur, ne prennent pas en compte l’inspection du contenu des emails, laissant ainsi un champ libre aux messages frauduleux.

En 2022, 18% des emails de phishing cliqués provenaient d’un appareil mobile

En 2022, les attaques de phishing via les téléphones mobiles ont représenté une part significative des incidents de sécurité, avec 18 % des emails de phishing cliqués émanant d’appareils mobiles, selon le Verizon Mobile Security Index 2022.

Toujours selon la même étude, 46 % des organisations ayant subi une violation de sécurité liée au mobile en 2022 ont identifié les menaces provenant des applications comme un facteur contributif.

Les appareils mobiles sont fréquemment utilisés à la fois pour des activités professionnelles et personnelles, ce qui tend à diminuer la vigilance des utilisateurs en matière de sécurité. Cette double utilisation, en fait des cibles idéales pour les cybercriminels pour l’envoi d’emails frauduleux.

57% des entreprises victimes d’au moins une attaque de phishing en 2020

Selon le rapport 2021 State of the Phish de Proofpoint, 57% des entreprises dans le monde ont subi au moins une attaque de phishing réussie en 2020. Si cette année est marquée par la pandémie, on remarque une hausse des cyberattaques, notamment le phishing, principalement due à l’augmentation du télétravail.

Si les États-Unis ont été les plus touché avec 74% des entreprises qui ont fait face à une attaque réussie la France et en Allemagne s’en sorte mieux avec moins de la moitié des entreprises victimes de ce genre d’attaque.

En conclusion

Pour résumer, le meilleur conseil est de rester alerte face aux attaques de phishing qui ne cessent de s’élaborer. Les cybercriminels s’adaptent et améliorent constamment leurs méthodes pour tromper les utilisateurs. Les entreprises et les individus doivent donc être proactifs et appliquer des stratégies de sécurité efficaces contre le phishing et ainsi se protéger de tout type de compromission.

protection de la vie privée
Article précédent
3 novembre 2023
6 conseils pour la protection de la vie privée en ligne
Article suivant
24 novembre 2023
Top 10 des cyberattaques contre les villes dans le monde
cyberattaques villes

PARTAGER CET ARTICLE

POUR EN SAVOIR PLUS

Ransomware Paris

15 Statistiques sur le ransomware en France et dans le monde

Sep 21, 2023
faille de sécurité

Les 10 statistiques sur les failles de sécurité en 2023

Déc 4, 2023
Gestion des mots de passe

6 conseils pour gérer ses mots de passe en 2023

Nov 27, 2023
cyberattaques villes

Top 10 des cyberattaques contre les villes dans le monde

Nov 24, 2023
ransomware, cyberattaque

Top 10 des ransomwares les plus dangereux en 2024

Sep 16, 2024

Newsletter Cybersécurité

Cyber menaces, préventions des risques cyber, nouvelles réglementations, retrouvez toutes les actus de la cybersécurité dans notre newsletter !