Le phishing (ou hameçonnage) est un courriel compromis, reposant sur une fausse qualité/identité de l'expéditeur (d'un mail, d'une bannière publicitaire...), vecteur d'une cyber-attaque ou d'une fraude. Un tel phishing peut ainsi induire le destinataire à déclencher un ransomware, saisir des données d'identification dans un site contrefait et permettant ainsi aux pirates de récupérer ces données, etc. Comme le confirme une récente étude IDG réalisée sur la commande d'OpenText, ils ne visent pas seulement les utilisateurs métiers peu sensibilisés à de tels risques ou le grand public mais aussi et surtout les personnels de la DSI, en particulier dans les grandes entreprises. Le risque n'en est que plus grand.

Ainsi, 55 % des attaques de phishing enregistrées dans les entreprises dans le monde visaient en 2021 les personnels de la DSI, devant les services clients, les finances et les directions générales. 44 % des grandes entreprises (500 à 999 employés) ont subi des interruptions de réseau de plus d'un jour en raison d'attaques de phishing, contre 14 % pour les petites entreprises (25 à 100 employés).

Le hameçonnage par moteurs de recherche difficile à détecter

En réponse, 87 % des entreprises rendent désormais obligatoire la formation à la sensibilisation à la sécurité et 65 % sauvegardent les mails et les données de l'entreprise pour se préparer à l'éventualité d'une attaque. Suite à des attaques par phishing, 24 % ont perdu du chiffre d'affaires et 19 % ont dû payer des amendes pour des manquements à la conformité réglementaire.

Dans les typologies de phishings, le hameçonnage passant par les moteurs de recherche est de loin la plus complexe à détecter (40 % des répondants). La principale cause du succès des attaques par phishing reste 45 % des entreprises estiment que le manque de compétences/expertise reste le principal défi.