Aujourd’hui, en moyenne, un courriel sur 61 contient une URL malveillante, ce qui fait dire à Mimecast, acteur de la sécurité des messageries, que la question de ces URL malveillantes est devenue endémique. Sa dernière étude « Email Security Risk Assessment » sur l'évaluation des risques de sécurité impliquant les courriels a révélé que le nombre d'URL malveillantes dans les courriels avait augmenté de plus de 125 % par rapport au trimestre précédent. Près de la moitié (45%) des 1025 personnes interrogées par Mimecast ont déclaré que le volume de ces attaques par manipulation d’URL ou par pièces jointes dangereuses avait augmenté au cours de la dernière année. 

De plus, d’après ce dernier rapport, près de 25 millions de pourriels, 26 713 pièces jointes malveillantes, 53 753 attaques d'usurpation d'identité et 23 872 formats de fichiers dangereux, sur un total de près de 232 millions de courriels inspectés, ont tous échappé aux solutions de sécurité des fournisseurs de service et ont été délivrés dans la boîte de réception habituelle des utilisateurs. « Cette mauvaise protection expose les individus et les entreprises », a déclaré Mimecast. « L'email et le web offrent forcément des surfaces d’attaques de choix pour s’infiltrer dans les systèmes d’une entreprise », rappelle Matthew Gardiner, stratège en cybersécurité chez Mimecast. « Le courrier électronique apporte un contenu crédible et des URL facilement cliquables, qui peuvent orienter des victimes accidentelles vers des sites web malveillants », a-t-il ajouté.

Hausse des tentatives d'usurpation d'identité

Les URL contenues dans les courriels se situent exactement à la frontière du courriel et du web. Les entreprises ont besoin d'avoir une visibilité sur ces deux canaux si elles veulent se protéger comme il se doit contre des menaces dont la nature ne cesse d’évoluer. Le fait d'avoir un seul fournisseur dans une solution intégrée peut les aider. « Les cybercriminels cherchent constamment des moyens d'échapper à la détection. Ils font souvent appel à des méthodes d'ingénierie sociale plus simples pour obtenir des renseignements sur une personne ou prennent des images qu’ils trouvent sur Internet pour habiller leurs tentatives d'usurpation d'identité et voler des identifiants ou des informations à des utilisateurs peu méfiants ».

Selon Mimecast, l'usurpation d'identité continue également de croître. 41 % des répondants ont signalé une augmentation de ces fraudes perpétrées au nom de fournisseurs ou de partenaires commerciaux pour obtenir de l'argent, des informations sensibles ou des identifiants. De plus, 38 % disent avoir constaté une augmentation des usurpations d'identité au nom de marques Internet bien connues.

Des formations pour sensibiliser aux cyberrisques

Par ailleurs, le manque de sensibilisation ou de formation efficace à la cybersécurité, comme savoir ce qu’il faut faire quand un employé ouvre par inadvertance des courriels de phishing, est toujours problématique. Garrett O'Hara, consultant technique principal de Mimecast, a récemment déclaré à CIO Australie qu’une formation orientée sur la conformité ne suffisait tout simplement pas. L'an dernier, Mimecast a fait l'acquisition d'Ataata, une plateforme de formation sur la sensibilisation à la sécurité et à la gestion des cyberrisques. Développée par l'armée américaine, les autorités judiciaires et la communauté du renseignement, elle aide les entreprises à combattre les violations résultant d’erreurs commises par leurs salariés. L'entreprise prétend que 95 % des manquements sont le résultat d'une erreur humaine.

Pour former les personnels, Ataata a créé des vidéos de trois à quatre minutes, percutantes et drôles, qui délivrent un message simple, dressent les profils à risque de l’entreprise pour élargir à l'industrie et à son marché vertical », a-t-il expliqué. « Ce qui est vraiment intéressant, c’est que l’approche dépasse le simple cadre d’une campagne de sensibilisation. On peut la reproduire au niveau du portail, « éliminer » de vraies attaques et l’utiliser pour mesurer le comportement des utilisateurs finaux ». « Car l’important, c’est de bien identifier ce qui se passe ». Ce n’est pas un faux courriel qui arrive dans l’entreprise. Au quotidien, que font les utilisateurs finaux quand ils sont confrontés à des attaques d'ingénierie sociale ? « C’est une perspective intéressante et je n'ai pas vraiment éprouvé cette approche. Mais elle pose des questions qui vont au-delà des campagnes d'hameçonnage courantes », a encore déclaré M. O'Hara.