Le coût réel d’une attaque par e-mail de grande envergure

Une nouvelle étude internationale met en évidence l’impact financier et opérationnel considérable des attaques par e-mail.

Selon le rapport Sécurité des e-mails : tendances 2023, les trois quarts (75 %) des entreprises interrogées déclarent avoir été victimes d’au moins une attaque par e-mail au cours des 12 derniers mois. L’attaque la plus coûteuse a entraîné, en moyenne, des pertes financières supérieures à un million de dollars.

Ces coûts déjà élevés ne cessent d’augmenter. 23 % des entreprises affectées affirment que l’impact financier des attaques a considérablement augmenté au cours de l’année écoulée.

L’e-mail demeure un puissant vecteur d’attaque. En effet, il s’agit d’un outil accessible, efficace et abordable pour les cybercriminels. Les attaques par e-mail ne cessent d’évoluer, exploitant intelligence artificielle et techniques avancées d’ingénierie sociale pour devenir de plus en plus sophistiquées et sournoises. L’équipe de recherche de Barracuda a pu identifier 13 types d’attaques par e-mail.

Perturbations, dommages et pertes

La conclusion de l’étude est sans équivoque : les conséquences d’une attaque par e-mail peuvent s’avérer très importantes, voire désastreuses.

Les conséquences les plus fréquentes sont également les plus graves : perturbation ou arrêt de l’activité (44 % des entreprises touchées), perte de données sensibles, confidentielles ou critiques (43 %) et préjudice de réputation (41 %).

Les conséquences varient d’un secteur à l’autre. À la suite de ces attaques, les sociétés financières ont perdu des données importantes et de l’argent, tandis que les acteurs de la santé ont dû engager des dépenses considérables pour restaurer en urgence leurs systèmes. L’activité manufacturière a été particulièrement perturbée.

Pour les petites entreprises, on retrouve en tête de liste la perte de données sensibles ou confidentielles, suivie par la dégradation de la réputation. Quant aux entreprises de taille moyenne et aux grandes entreprises, les conséquences les plus courantes étaient la perturbation, voire l’arrêt de l’activité, ainsi qu’une baisse de productivité des salariés. Ces données semblent indiquer que les grandes entreprises jouissent d’une réputation assez solide pour résister à une attaque, mais qu’elles ont plus de difficultés à assurer la continuité de leur activité.

Les risques liés au télétravail

Le risque et le coût de rétablissement sont toutefois plus élevés pour les entreprises dont plus de la moitié des salariés télétravaillent, quels que soient leur taille et leur secteur d’activité.

Cela s’explique probablement par le fait qu’il est difficile de faire respecter les politiques de sécurité dans le cadre du télétravail. Pour accomplir leurs tâches quotidiennes, les salariés doivent pouvoir accéder à distance aux applications et aux données critiques de l’entreprise. Cela entraîne non seulement une augmentation de la surface d’attaque disponible pour les cybercriminels, mais aussi des retards possibles dans la détection, la réponse et le rétablissement en cas de cyberattaque. 

Les entreprises se disent non préparées

La plupart des entreprises interrogées (97 %) se disent non préparées à faire face aux principales cybermenaces. Environ un tiers d’entre elles (34 %) se sentent démunies face au risque de perte de données et aux attaques par malware, et plus d’un quart (27 %) se disent impuissantes face aux ransomwares. Par ailleurs, 28 % des entreprises déclarent ne pas être en mesure de répondre à des menaces moins complexes telles que le spam. Les grandes entreprises se disent non préparées à faire face aux menaces en général.

Mais il y a aussi de bonnes nouvelles

Pour ce qui est des menaces avancées comme l’hameçonnage, le spear phishing et les ransomwares, les entreprises se sentent, dans l’ensemble, mieux préparées qu’elles ne l’étaient lors de notre dernière étude sur l’impact des attaques par e-mail il y a trois ans.

Selon notre dernière étude, 26 % des entreprises investissent davantage dans la sécurité des e-mails, et 89 % estiment que leurs systèmes et leurs données sont mieux protégés qu’il y a 12 mois. Sensibiliser davantage, comprendre les risques de sécurité, ainsi que la nécessité de mettre en place une solution de protection robuste, voilà un bon point de départ pour la sécurité des e-mails en 2023.

« L’e-mail est un canal de communication jugé fiable et plébiscité par les internautes, ce qui en fait une cible privilégiée des cybercriminels. Nous nous attendons à des attaques par e-mail de plus en plus sophistiquées, qui s’appuient sur l’intelligence artificielle et des techniques d’ingénierie sociale avancées pour contourner les mesures de sécurité et tenter d’obtenir les données ou l’accès visés », nous confie Don MacLennan, vice-président Ingénierie et gestion des produits, protection des e-mails chez Barracuda. « Les attaques par e-mail peuvent ouvrir la voie à tout un éventail de cybermenaces telles que les ransomwares, les vols d’informations, les logiciels espions, le minage de cryptomonnaie et d’autres malwares. Il n’est pas étonnant que les équipes informatiques du monde entier se sentent mal préparées face à bon nombre de menaces par e-mail. Sensibiliser davantage, comprendre les risques de sécurité, ainsi que la nécessité de mettre en place une solution de protection robuste, s’avère essentiel pour protéger les entreprises et leurs salariés en 2023 et au delà. »

Cette étude a été menée par le cabinet d’études indépendant Vanson Bourne pour le compte de Barracuda auprès de professionnels de l’informatique occupant différents postes, de la première ligne à la direction, au sein d’entreprises de 100 à 2 500 salariés, spécialisées dans divers secteurs et implantées aux États-Unis, en Europe, au Moyen-Orient, en Afrique, ainsi que dans la zone Asie-Pacifique.