Selon le dernier rapport annuel, « Human Risk Review » publié par SoSafe, qui propose des actions de sensibilisation à la cybersécurité, près de la moitié des entreprises en France (46 %) ont été victimes d'une cyberattaque au cours des trois dernières années, 21 % admettent même que ce fut le cas à plusieurs reprises. En revanche, seule une entreprise sur trois (30 %) se dit disposée à payer une rançon, un chiffre très bas en comparaison avec nos voisins européens : les Pays-Bas sont les plus susceptibles d’accepter de payer avec 46 % de ses entreprises concédant y avoir été contraintes, suivis par l’Allemagne (45 %), l’Autriche (43 %) et le Royaume-Uni (38 %).
Ce rapport, basé sur un sondage réalisé auprès de plus de 1 000 responsables de la sécurité des systèmes d’information (RSSI) de six pays européens (France, Allemagne, Grande-Bretagne, Autriche, Pays-Bas et Suisse), sur des entretiens d’experts et utilisant plus de 8,4 millions de données issues de la plateforme de sensibilisation à la cybersécurité de SoSafe, vise à établir un état des lieux des cybermenaces actuelles et évaluer la culture d’entreprise en matière de cybersécurité pour y faire face.
Des cyberattaques de plus en plus diversifiées
L’étude révèle que 76 % des RSSI français interrogés sont stressés par le risque de cyberattaques. La plupart d’entre eux considèrent que les dernières innovations en matière d’intelligence artificielle (83%), la situation géopolitique actuelle (82%), et le travail hybride (77%) ne font qu’aggraver les risques de cybermenaces. Un répondant sur deux (49%) considère même que la menace va empirer au cours des douze prochains mois.
Les attaques par malware, en particulier, sont les plus dangereuses, selon 41% des répondants français. Les actes de piratage contre les chaînes d'approvisionnement sont également considérés comme un risque important pour 81% des RSSI. Ainsi, 18% des organisations interrogées ont déjà été victimes de ce type d’attaque et 81% reconnaissent que leur propre sécurité dépend des normes de sécurité de leurs partenaires.
Les attaques par phishing restent une menace importante, renforcées par de nouvelles innovations en matière de manipulation émotionnelle. Ces attaques sont la deuxième menace la plus importante pour la cybersécurité des entreprises françaises : 35 % d’entre elles admettent en avoir déjà été victime. Selon 71% des RSSI français interrogés, les mails sont le moyen le plus utilisé par les cybercriminels pour tenter d’attaquer leurs organisations. Ainsi, pour 82% d’entre eux, ce type d’attaque et la manipulation émotionnelle des employés constituent un risque.
Une personne sur trois clique sur des pièces jointes ou des liens compromis
En outre, les données issues de la plateforme de sensibilisation SoSafe confirment que la menace est élevée : une personne sur trois (31%) clique sur des pièces jointes ou des liens compromis lorsqu’elles sont ciblées par une attaque via phishing. Les mails malveillants qui ont comme objets « Voiture endommagée » ou « Invitation à l'équipe » sont les plus susceptibles d'inciter les destinataires à les ouvrir, cliquer ou même saisir des informations personnelles sur un autre site web. Par ailleurs, les employés semblent particulièrement sensibles aux tactiques d'ingénierie sociale qui déclenchent des émotions fortes, telles que la pression (24%), l'autorité (28%) ou les appels financiers (18%).
« La méthode des attaques par phishing reste la plus utilisée par les cybercriminels car elle est la plus performante sur le plan humain. Le fait que, selon nos données, une personne sur trois tombe dans le piège d’un mail de phishing, peut s’expliquer par les possibilités illimitées de personnalisation de ce type d’email. Bien souvent, les destinataires n’y sont pas préparés. Les cybercriminels sont maintenant en mesure d’utiliser des informations personnelles pertinentes collectées sur les réseaux sociaux, de rebondir et d’instrumentaliser l’actualité afin de déclencher des émotions fortes ou encore d’utiliser l’IA pour imiter des images, des vidéos ou encore des voix. Pour les personnes malveillantes souhaitant mettre au point de nouvelles stratégies et mener à bien ce type d’attaques, cette créativité est désormais devenue la norme » précise Niklas Hellemann, P-dg et fondateur de SoSafe.
La sensibilisation à la cybersécurité est devenue un enjeu prioritaire
Plus de deux tiers des RSSI en France (69%) estiment qu’au sein de leurs équipes, le niveau de conscience face aux risques est élevé. De surcroit, 68 % estiment que les investissements dans ce domaine sur les dix-huit prochains mois vont augmenter. Le développement d'une culture de la cybersécurité est ainsi une priorité pour 94% des entreprises, encouragé par le fait que les équipes dirigeantes y accordent une plus grande importance, selon 66% des personnes interrogées.
« Le fait que les entreprises sont de plus en plus conscientes de la nécessité d'investir dans la sensibilisation aux risques cyber, et que cette prise de conscience ait également atteint la direction de l’entreprise, représente une évolution positive. Toutefois, nos données comportementales actuelles démontrent qu'il reste encore beaucoup à faire : environ 31% des personnes cliquent sur des mails de phishing, et 52% d'entre elles divulguent même des données confidentielles. Ainsi, même si les employés comprennent mieux qu'avant l'importance de la cybersécurité, il reste encore du travail afin que les bons comportements perdurent sur le long terme. Il est donc nécessaire de renforcer l’autodéfense numérique des entreprises pour lutter contre la cybercriminalité. » ajoute Niklas Hellemann.
« Nous constatons que les entreprises prennent souvent des mesures, mais seulement à l’issue d’une attaque. Or, les dégâts s’avèrent déjà importants et difficiles à réparer lorsque le mal est fait. La prévention est de loin la meilleure solution. Heureusement, la réglementation va de plus en plus nous aider à sensibiliser les dirigeants d’entreprises. Le référentiel 27001 et la directive européenne NIS 2 imposent la mise en place d’actions de sensibilisation à la cybersécurité et l’obligation de se conformer à cette directive est prévue dès le 17 octobre 2024 », précise Jean-Baptiste Roux, vice-président de Sosafe en charge du développement international.