Site Logo

Face à la recrudescence des attaques, il est temps de redoubler d'efforts pour assurer la protection des e-mails

Thèmes:
28 avr. 2022
|
Phil Muncaster

Les fonctionnaires sont des cibles privilégiées pour menaces véhiculées par e-mail. Il n’est donc pas surprenant d’apprendre que les employés du secteur public britannique ont été assaillis de milliards d’e-mails malicieux l’année dernière. Le plus inquiétant est sans doute la conclusion du rapport : au cours de l’année dernière, les mêmes personnes ont très certainement cliqué sur des dizaines de milliers de liens malveillants.

Cela prouve une fois de plus que les entreprises doivent disposer de mesures de protection humaines et techniques pour contrer la menace que représentent les e-mails malicieux. Et elles ont besoin d’outils rapides et automatisés pour réduire les temps de réponse en cas de problème.

À quel point la situation est-elle critique ?


Les chercheurs de Comparitech ont rédigé leur rapport à partir des demandes d’accès à l’information en vertu de la loi Freedom of Information (FOI), envoyées à près de 260 institutions gouvernementales britanniques. En extrapolant aux 764 331 employés du gouvernement, ils ont estimé qu’un peu moins de 2,7 milliards d’e-mails malicieux avaient été reçus en 2021. Les principales conclusions étaient les suivantes :

  • Les employés gouvernementaux ont reçu en moyenne 2 399 e-mails malicieux chacun lors de l’année 2021.

  • En 2021, NHS Digital a enregistré le plus grand nombre d’e-mails malicieux par employé (89 353), suivi du gouvernement d’Irlande du Nord (34 561) et du Financial Reporting Council (25 992).

  • Une moyenne de 0,32 % de ces e-mails a été ouverte par le personnel en 2021, ce qui représente plus de 8,6 millions d’e-mails potentiellement ouverts.

  • Pour ceux qui ont été ouverts, le personnel a cliqué sur des liens suspects dans 0,67 % des cas, ce qui représente un chiffre total de 57 736.


La bonne nouvelle, c’est que si les instances gouvernementales ont repéré la réception d’un e-mail malveillant, celui-ci a très probablement été bloqué. Toutefois, selon ces réponses en vertu de la FOI, un grand nombre d’entre eux ont également été ouverts et ont donné lieu à des clics. En ce qui concerne les pourcentages de clics, le chiffre de 0,67 % est en réalité assez bas. Dans son rapport 2021 sur les enquêtes relatives aux violations de données, Verizon a noté un taux de 3 % toutes entreprises confondues. Toutefois, compte tenu du nombre de personnes concernées, les pirates n’ont pas besoin de compter sur la chance pour que leurs efforts soient récompensés, surtout lorsque des logiciels automatisés se chargent d’envoyer des spams malveillants en masse.

Comparitech m’a indiqué qu’il avait écarté toutes les réponses en vertu de la FOI qui n’étaient pas claires afin de réduire les risques de surestimation du nombre de clics.

Une vision d'ensemble


Il va sans dire que les e-mails restent le principal vecteur des attaques, car ils sont les plus efficaces. Cliquer sur un lien malveillant ou une pièce jointe piégée peut conduire :

  • Au téléchargement direct d’un malware : ransomware, malware de cryptominage, trojans bancaires, etc.

  • À une redirection vers un site de phishing ressemblant à un vrai site mais visant à voler des identifiants

  • À une violation majeure des données utilisateur ou d’informations sensibles

  • À des dommages financiers et de réputation conséquents


Il est probable que les fonctionnaires d’État du monde occidental soient également victimes de ce phénomène, tout comme le personnel d’autres secteurs, de la santé aux industries de production. De fait, la décision récente du National Cyber Security Centre (NCSC) du Royaume-Uni de faire bénéficier les écoles du pays de son service Mail Check souligne l’ampleur de la menace qui pèse sur le secteur de l’éducation.

Il ne fait aucun doute que la tendance émergente du télétravail a contribué non seulement à l’augmentation du nombre d’e-mails malicieux, mais aussi à accroître le risque que des employés cliquent dessus. Au début de la pandémie, Google a affirmé bloquer 240 millions de spams portant sur la COVID-19 chaque jour, ainsi que 18 millions de malwares et d’e-mails de phishing. Les chiffres de Comparitech le confirment. L’organisation soutient que les ministères ont vu une augmentation de 25 % du nombre d’e-mails malicieux entre 2018 et 2019, suivie d’une augmentation bien plus marquée de 146 % entre 2019 et 2020.

Des études ont prouvé à maintes reprises que les télétravailleurs étaient plus susceptibles d’adopter un comportement à risque, par exemple en cliquant sur des liens de phishing. La logique veut qu’ils soient plus facilement distraits par leurs colocataires et les membres de leur famille, voire qu’ils se sentent psychologiquement moins disposés à suivre la politique de sécurité lorsqu’ils ne sont pas au bureau.

Quelle solution pour sécuriser vos e-mails


Alors, quelle solution adopter pour minimiser les menaces qui pèsent sur la sécurité des e-mails ? Il existe de multiples failles susceptibles d’être exploitées par des pirates, et ce, en s’attaquant au trio classique que sont les collaborateurs, les processus et la technologie. C’est donc sur ces points que doit se concentrer toute bonne stratégie de sécurité :

  • La technologie. Le premier niveau de défense doit être technique. La technologie de sécurité des e-mails a beaucoup évolué depuis l’époque de l’analyse des URL et des pièces jointes, bien que ces fonctionnalités soient toujours particulièrement importantes. Les entreprises doivent les combiner avec des outils d’IA pour identifier les comportements suspects (qui sans cela ne seraient même pas remarqués), et des outils de réponse aux incidents conçus pour remédier rapidement aux menaces qui parviennent à passer les lignes de défense.

  • Les collaborateurs. La première ligne de défense doit être renforcée par une formation approfondie de sensibilisation au risque que représente le phishing. Cela implique de disposer d’outils capables de simuler des campagnes réelles et de fournir un feedback pour chaque résultat. Les sessions doivent être dispensées à l’ensemble du personnel de façon continue, sous forme de courtes leçons.

  • Processus et politique. Les mises à jour dans ce domaine peuvent être un moyen utile de rappeler à l’ensemble du personnel ses responsabilités en matière de respect des meilleures pratiques. Pensez notamment à recourir à l’authentification multifacteur pour vous connecter, à ne pas cliquer sur des liens ou à ne pas ouvrir de pièces jointes dans des e-mails indésirables et à ne pas vous inscrire à des comptes/services tiers en utilisant votre adresse e-mail professionnelle.


La sécurité des e-mails, comme la cybersécurité en général, est la responsabilité de chacun. Comprendre cela constitue la première étape vers la création d’une véritable culture de la sécurité.

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Billets associés :
Secured.22 : faire face au risque de piratage de compte
Secured.22 : faire face au risque de piratage de compte
 Security awareness computer based training could save your business
Security awareness computer based training could save your business
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware
Threat Spotlight: Sextortion
Threat Spotlight: Sextortion