Empêcher les attaques de phishing, toujours plus nombreuses, à faire des dégâts, s'avère coûteux pour les entreprises. Selon une étude d'Osterman Research, les activités liées au phishing mobilisent un tiers du temps total des équipes informatiques et de la sécurité et représentent pour les entreprises un coût pouvant aller de 2,84 à 85,33 dollars HT/mail de phishing. Le rapport n’évalue pas le coût des dommages causés par le phishing, mais plutôt la perte de productivité des équipes IT et de la sécurité. « En moyenne, les entreprises passent 16 à 30 minutes à traiter chaque courriel de phishing identifié dans leur infrastructure de messagerie », indique le rapport commandé par Ironscales, une entreprise spécialisée dans la sécurité de la messagerie. Les estimations de Osterman résultent d’un sondage réalisé en juin 2022 auprès de 252 professionnels de l’IT et de la sécurité aux États-Unis. « Le nombre de courriels de phishing ciblant chaque jour une entreprise spécifique dépend d'une myriade de facteurs, notamment le secteur d'activité et la géographie de l'entreprise », a déclaré Ian Thomas, vice-président du marketing produit chez Ironscales. 

Coût d'un courriel de phishing

Pour calculer le coût du traitement du phishing par les équipes IT et de la sécurité, Osterman Research a déterminé le salaire moyen et les avantages dont peut bénéficier un professionnel de l’IT et de la sécurité. Pour cela, Osterman a créé un profil composite à partir des personnels amenés chaque semaine à traiter le phishing dans leur entreprise et dont le rôle a été mis en évidence par l’enquête. Sont concernés par ce rôle, le responsable de la sécurité informatique, le responsable informatique, le responsable de la sécurité des courriels, le responsable de la sécurité, l'administrateur de la sécurité des courriels, le responsable SOC et de l'analyste SOC. Sur cette base composite, le rapport a établi que le professionnel de l'informatique et de la sécurité type coûtait 136 528 dollars par an en salaire et avantages, soit 68,26 dollars HT de l'heure. « Le coût moyen par courriel de phishing est calculé en prenant le point médian entre la fourchette du nombre de minutes, multiplié par le taux horaire moyen. Par exemple, le point médian de la plage « 5-15 minutes » est de 10 minutes, donc 10 minutes de 68,26 dollars HT = 11,38 dollars HT. Le point médian de la tranche 46-60 minutes est de 52,5 minutes. Pour l'option « Plus de 60 minutes », nous avons choisi 75 minutes comme point médian », a déclaré Ian Thomas. 

Sur la base de ce calcul, le rapport conclut que les entreprises dépensent entre 2,84 et 85,33 dollars HT par courriel de phishing, en fonction du temps qu'elles consacrent au traitement de ces messages. Plus le nombre de professionnels de l’IT et de la sécurité augmente dans une entreprise, plus le coût des activités liées au phishing augmente. Selon le rapport, une entreprise comptant cinq professionnels de l’IT et de la sécurité paie actuellement 228 630 dollars de salaire annuel et d'avantages sociaux pour traiter le phishing, tandis qu'une entreprise qui emploie 10 professionnels de l’IT et de la sécurité paie 457 260 dollars par an pour traiter le phishing. Ce montant pourrait atteindre 1,14 million de dollars par an pour une entreprise comptant 25 professionnels de l’IT et de la sécurité.

Jusqu'à 60 minutes par courriel de phishing

Le rapport précise que 70 % des entreprises consacrent de 16 à 60 minutes pour traiter chaque courriel de phishing. Ce temps couvre le cycle de vie du phishing, depuis la découverte initiale d’un courriel de phishing potentiel à sa suppression complète de l'environnement. En moyenne, les activités liées au phishing consomment chaque semaine un tiers du temps de travail disponible des équipes IT et de la sécurité de l’entreprise. « Ce qui équivaut à 45 726 dollars de salaire et d'avantages sociaux par professionnel de l’IT et de la sécurité pour gérer le phishing », indique le rapport. Un tiers des personnes interrogées ont déclaré qu'elles pensaient que les niveaux actuels et prévus de phishing représentaient une « menace » ou une « menace extrême » pour elles. Même si le niveau actuel de la menace a diminué pendant les 12 derniers mois, le rapport indique que cette baisse pourrait être la conséquence d’un retour de nombreuses entreprises au travail sur site, où les risques de phishing sont moins élevés que pour les travailleurs à distance.

Néanmoins, au cours des 12 prochains mois, 67 % des entreprises interrogées par Osterman ont déclaré qu'elles s'attendaient à ce que le temps consacré chaque semaine aux courriels de phishing par les équipes IT et de la sécurité reste le même ou augmente. « Parce que les attaques de phishing vont certainement augmenter, qu’elles seront plus sophistiquées et mieux à même de contourner les systèmes de détection traditionnels de la sécurité des courriels, une meilleure interprétation des données de cette enquête serait de dire qu’elle montre que les entreprises des personnes interrogées cherchent des solutions pour répondre à la menace du phishing dans son ensemble, sans s’attacher à la nature des attaques de phishing elles-mêmes ».