Il ressort du dernier rapport de Barracuda Networks (Spear phishing Trends 2023) que plus de deux tiers (68 %) des organisations interrogées dans le Benelux ont été victimes d’hameçonnage réalisées par des techniques d'ingénierie sociale en 2022. 
Ce chiffre est nettement supérieur à la moyenne mondiale de 50 %. Les entreprises du Benelux mettent également beaucoup plus de temps à détecter les attaques de « spearphishing » et à y remédier. 
En outre, les données provenant des systèmes Barracuda montrent qu’au moins un compte e-mail a été compromis par la prise de contrôle d’un compte dans un quart (24 %) des organisations affiliées.

L’enquête montre que les cybercriminels continuent de bombarder les organisations d’attaques ciblées par courrier électronique et que de nombreuses entreprises ont du mal à y mettre fin. Bien que les attaques par spear phishing soient rares, elles sont très répandues et très efficaces par rapport à d’autres types d’attaques par courrier électronique.

Les organisations ont reçu en moyenne 8 e-mails de type « spear phishing » hautement personnalisés par jour.
Ces attaques sont très fructueuses : selon les données des systèmes Barracuda, bien qu’elles ne représentent que 0,1 % de toutes les attaques par e-mail dans le monde, elles sont responsables de 66 % de toutes les brèches !

Pas moins de 7 répondants du Benelux sur dix (70 %) ayant subi une attaque ont signalé que leurs systèmes avaient été infectés par des logiciels malveillants ou des virus ; 53 % d’entre eux ont signalé le vol de données sensibles et 50 % ont signalé le vol d’identifiants de connexion. 

La détection et la lutte contre les menaces constituent toujours un défi : en moyenne, les organisations du Benelux ont besoin de 145 heures pour identifier une menace par courrier électronique après qu’elle a été délivrée dans une boîte de réception, y répondre et la résoudre. 
Il leur faut 70 heures pour détecter l’attaque et 75 heures pour réagir et récupérer de l’attaque après sa détection. Dans ce domaine également, les organisations du Benelux obtiennent des résultats nettement inférieurs à la moyenne mondiale, qui s’élève respectivement à 43 et 56 heures.

Travail à distance pointé du doigt 

Le travail à distance augmente le niveau de risque : les utilisateurs des entreprises comptant plus de 50 % de travailleurs à distance ont signalé plus d’e-mails suspects, en moyenne 12 par jour, contre 6 par jour dans les entreprises comptant moins de 50 % de travailleurs à distance.

L’augmentation du nombre de travailleurs retarde la détection et la réaction : les entreprises comptant plus de 50 % de travailleurs à distance ont également indiqué qu’il leur fallait plus de temps pour détecter les incidents de sécurité du courrier électronique et y réagir. Plus précisément, 80 heures pour la détection et 87 heures pour la réaction et l’atténuation, contre une moyenne de 64 heures et 69 heures pour les organisations comptant moins de travailleurs à distance. 

« Bien que le spear phishing ne représente qu’un faible volume des attaques, cette méthode d’hameçonnage est à l’origine d’un nombre disproportionné de violations réussies grâce à ses tactiques de ciblage et d’ingénierie sociale. En outre, l’impact d’une seule attaque réussie peut être dévastateur », résume Fleming Shi, CTO de Barracuda. 

« Afin de garder une longueur d’avance sur ces attaques d’une très grande efficacité, les entreprises devraient investir dans des solutions qui tirent parti de l’IA afin de se protéger contre la prise de contrôle des comptes. Ces outils seront beaucoup plus efficaces que les mécanismes de détection fondés sur des règles. Une meilleure efficacité dans la détection contribuera à mettre fin au spearphishing, ce qui réduira les efforts nécessaires pour réagir en cas d’attaque », conclut l’expert. 

Les analyses réalisées par l’étude sont fondées sur un ensemble de données contenant 50 milliards d’e-mails provenant d’un total de 3,5 millions de boîtes de réception, dont près de 30 millions d’e-mails de spear phishing. 
Le rapport comprend également les résultats d’une enquête menée auprès de 150 professionnels de l’informatique dans le Benelux au sein de 1.350 entreprises comptant de 100 à 2 500 collaborateurs.