La réalité d'aujourd'hui est dominée par les interactions numériques, sur lesquelles elle repose d'ailleurs. En tête des risques ciblant les infrastructures informatiques et de sécurité figurent les attaques par phishing, qui sont le vecteur initial de 9 cyberattaques sur 10. Au cours de la seule année passée, le phishing a entraîné des pertes supérieures à 50 milliards de dollars pour les entreprises du monde entier. Les acteurs malveillants se sont fait passer pour plus de 1 000 entreprises différentes dans quelque 40 millions de tentatives d'usurpation d'identité et plus d'un milliard de tentatives d'usurpation d'identité de marque. Le phishing est efficace, et c'est incontestable. Et les acteurs responsables des menaces ne cesseront jamais d'exploiter les méthodes qui leur permettent d'exploiter efficacement les vulnérabilités.
Pourquoi ? Ces attaques sont dirigées contre des personnes, et nous adorons écouter de belles histoires. Certains affirment même que le cours de toute l'humanité est guidé par des histoires. Pour garantir l'efficacité de ces attaques, les cyberacteurs n'ont besoin d'avoir recours qu'à une seule tactique : jouer la carte de l'authenticité. L'authenticité visuelle est plus directement liée aux attaques par phishing reposant sur l'usurpation d'identité, tandis que l'authenticité organisationnelle est plus étroitement liée aux attaques par phishing reposant sur la compromission du courrier électronique professionnel (Business Email Compromise, BEC).
Le premier objectif consiste à faire preuve d'authenticité – par exemple, en ciblant des marques connues, afin qu'il devienne toujours plus difficile de distinguer les contenus authentiques des contenus malveillants. Un exemple : le plus souvent (dans 51,7 % des cas), les auteurs d'attaques par phishing reposant sur les e-mails ont usurpé l'identité de l'une de 20 marques mondiales réputées. Ces marques sont des entreprises populaires, générant d'importants volumes d'interactions ; Microsoft arrive en tête de la liste, aux côtés d'autres entreprises telles que Google, Amazon, Facebook et l'Organisation mondiale de la santé.
Les acteurs malveillants tirent également parti de grands événements mondiaux ou de tendances liées à des marques. Par exemple, lors d'une Coupe du monde, des campagnes exploitent les ressources liées à la Coupe du monde, et lors d'un sommet du G20, d'autres campagnes exploitent les ressources liées au G20. Et lorsque le Covid-19 est apparu, une multitude d'attaques ont été lancées avec l'objectif d'exploiter les tendances liées au Covid-19. D'une certaine manière, les acteurs malveillants sont incroyablement prévisibles, et les événements physiques s'immiscent dans le cyberespace. En fin de compte, cette réalité souligne que le phishing, à l'instar de toute forme d'attaque, exploite les facteurs qui constituent le maillon faible – dans ce cas, la tendance inhérente des humains à faire confiance.
Lorsque des acteurs malveillants imitent des personnes légitimes, leur deuxième objectif principal (à savoir inciter les victimes à cliquer sur des liens ou à télécharger des fichiers nuisibles) peut être facilement atteint. Il est naturel de vouloir interagir avec un lien ou un fichier opportun provenant d'une personne que l'on pense connaître. Au début de l'année, des acteurs malveillants ont tiré parti de l'effondrement de la Silicon Valley Bank pour s'en prendre aux clients de l'entreprise. Lors d'une campagne de phishing de grande ampleur, des acteurs malveillants se sont fait passer pour la Silicon Valley Bank et ont envoyé des « liens » avec le thème de DocuSign. Lorsque les utilisateurs cliquaient dessus, ils étaient entraînés dans une chaîne de redirection complexe, gérée par les acteurs malveillants.
Les enjeux de la lutte contre les attaques par phishing n'ont jamais été aussi importants. Bien que le problème puisse sembler insurmontable, il existe trois actions essentielles permettant de consolider la stratégie de sécurité de toute entreprise :
Un seul e-mail frauduleux peut causer des dommages considérables à une entreprise, et les outils standard de sécurité des boîtes de réception ne constituent pas une solution viable pour lutter contre ces attaques. Entre 2013 et 2015, Facebook et Google ont perdu 100 millions de dollars après avoir été victimes d'une escroquerie à la facture durant laquelle un acteur malveillant a émis une série de factures pour un montant de plusieurs millions de dollars, en imitant le fournisseur du géant de la technologie. En 2016, le fabricant autrichien de pièces aérospatiales FACC a perdu 47 millions de dollars lorsqu'un collaborateur a viré des fonds après avoir été victime d'un stratagème de phishing usurpant l'identité du directeur général de l'entreprise.
Les auteurs de menaces ont souvent recours à des fournisseurs populaires (par exemple, Microsoft et Google) pour lancer leurs attaques, ce qui leur permet d'échapper aux contrôles d'authentification habituels. Aujourd'hui, la procédure de sécurité du courrier électronique repose sur la mise en œuvre d'une multitude de couches de protection avant, pendant et après l'arrivée des messages dans la boîte de réception. Si les normes d'authentification SPF, DKIM et DMARC constituent une mesure de protection essentielle, elles ne suffisent pas, à elles seules, à assurer une protection complète contre les attaques par phishing. Ces normes n'ont pas été conçues pour détecter la présence d'e-mails dangereux et/ou de liens typiquement utilisés lors d'attaques par phishing, comme le démontre le fait que 89 % des messages indésirables ont été autorisés par ces outils.
La clé pour et lutter contre les tactiques modernes de phishing et suivre leur évolution consiste à adopter un état d'esprit présumant qu'une violation a eu lieu : ne jamais faire confiance, toujours vérifier. Les entreprises doivent mettre en œuvre un modèle de sécurité Zero Trust pour chaque e-mail. La mise en œuvre d'une authentification multifactorielle résistante au phishing, le renforcement de la sécurité du courrier électronique dans le cloud avec une multitude de barrières anti-phishing et la mise en œuvre d'outils sécurisés pour les collaborateurs sont autant d'éléments essentiels pour atteindre cet objectif.
Lorsque les processus et les outils ne s'avèrent plus efficaces, la propension naturelle consiste à consacrer davantage de ressources au problème : plus de personnel, de temps et d'argent. Toutefois, cette approche n'est pas pertinente, car l'adoption de mesures réactives signifie qu'il est déjà trop tard. Prenons l'exemple des filtres anti-spam : bien qu'à un moment donné, ils aient été la clé de voûte des solutions de sécurité du courrier électronique, ils n'incarnent que la partie émergée de l'iceberg au regard des mesures nécessaires pour lutter proactivement contre les attaques par phishing.
Bien qu'elle soit pertinente dans d'autres contextes, la démarche consistant à répartir les menaces liées au phishing dans différentes catégories s'avère inefficace lors de l'adoption d'une vision holistique du phishing, avec l'objectif de remédier au problème. De nombreux rapports sectoriels consacrés au phishing divisent l'espace de manière granulaire, comme s'il s'agissait d'aborder et de résoudre 100 problèmes différents. Toutefois, la même menace étant abordée de 100 manières différentes, l'examen d'une solution peut s'avérer être une perspective décourageante. Une approche exhaustive est essentielle et, comme le démontre le nombre croissant d'attaques, l'accumulation de données ne mène pas à une solution. À l'heure où 90 % des décideurs en matière de sécurité s'accordent à dire que la diversité et l'ampleur des menaces liées au phishing augmentent, il est évident qu'une stratégie exhaustive et rationalisée est indispensable pour protéger nos environnements numériques.
Le panorama de la cybersécurité est inondé de solutions promettant toutes une sécurité accrue ; toutefois, très peu d'entre elles s'attaquent efficacement au problème exacerbé que constitue le phishing, une menace contre laquelle aucune entreprise ne peut prétendre être protégée. En 2022 seulement, Cloudflare a détecté plus de 1,4 million de menaces liées à la compromission du courrier électronique professionnel (Business Email Compromise, BEC), soit deux fois plus qu'en 2021, et 71 % des entreprises ont subi une tentative d'attaque, voire été victimes d'une attaque par compromission de leur courrier électronique.
Ces données révèlent que le phishing s'infiltre dans tous les secteurs d'activité, et qu'il suffit d'un clic sur un lien pour rendre inutiles les investissements dans les solutions de sécurité traditionnelles. Les utilisateurs sont plus enclins à cliquer sur des liens qu'à télécharger un fichier, car ils perçoivent le lien comme une forme de communication plus authentique. Les auteurs de menaces capitalisent continuellement sur cette faiblesse humaine ; c'est pourquoi les liens malveillants sont devenus la catégorie de menace la plus courante, représentant 35,6 % de l'ensemble des menaces détectées. Ces liens et fichiers peuvent se traduire par l'extraction d'informations d'identification ou l'exécution de code à distance permettant à un pirate informatique d'installer des logiciels malveillants ou des rançongiciels, de dérober des données ou d'entreprendre d'autres actions – et, en fin de compte, à la compromission totale du réseau suite à la prise de contrôle d'un poste de travail unique.
Face à la recrudescence des attaques par phishing, les dirigeants d'entreprise doivent utiliser la puissance des données pour mettre en place des solutions. Cette approche permet d'assurer que les ressources sont correctement affectées à la défense proactive contre les violations résultant d'attaques par phishing réussies. Les données indiquent clairement que le phishing constitue un problème majeur pour les entreprises de toutes tailles. Cependant, il existe des réponses précises concernant l'utilisation des ressources pour éviter que des attaques par phishing ne causent des dommages irréversibles.
L'écosystème numérique évolue continuellement, et la capacité de conserver une longueur d'avance sur les attaques par phishing nécessite une approche directe et proactive. Les entreprises peuvent sécuriser le courrier électronique en adoptant un modèle de sécurité Zero Trust, afin qu'aucun utilisateur ou appareil ne dispose d'un accès complet et fiable au courrier électronique ou à d'autres ressources du réseau. Les entreprises peuvent intégrer une multitude de contrôles anti-phishing aux solutions de sécurité des e-mails dans le cloud, afin de protéger les domaines particulièrement exposés aux attaques, mais elles peuvent également mettre en œuvre des outils de sécurité fondés sur l'authentification multifactorielle, résistants au phishing.
La pile technologique est tout aussi importante que la culture organisationnelle. Les équipes au sein des grandes entreprises utilisent leurs outils préférés ; aussi, le fait de soutenir les collaborateurs en sécurisant les outils qu'ils utilisent déjà contribue à prévenir des attaques par phishing potentielles. Il est essentiel d'encourager une approche transparente et sans reproche du signalement d'activités suspectes, fondée sur le principe « Si vous voyez quelque chose, dites quelque chose ». En effet, les minutes qui s'écoulent entre le signalement d'une activité suspecte et le passage à l'action sont décisives.
En mettant en œuvre des solutions techniques modernes, en abordant le problème de front et en tirant parti de solutions fondées sur les données, les entreprises peuvent s'affranchir des solutions de fortune et se protéger efficacement, elles et leurs données, contre les attaques par phishing. Ces solutions nécessitent une approche transversale, associant des mesures techniques à une sensibilisation organisationnelle, afin de créer une formidable ligne de défense contre la menace insidieuse que constitue le phishing.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Pour en savoir plus sur les dernières tendances liées au phishing, téléchargez le nouveau rapport consacré aux menaces liées au phishing.
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Le phishing reste le vecteur initial dans 9 cyberattaques sur 10
89 % des messages indésirables ont franchi les contrôles SPF, DKIM et DMARC
3 mesures essentielles pour renforcer la stratégie de sécurité d'une entreprise
Ressources associées :