Spear phishing : des attaques à 1,6 million de dollars

Quel est l’impact du spear phishing sur l’activité des entreprises ? Le fournisseur de solutions de sécurité Cloudmark s’est posé la question et a interrogé, par l’intermédiaire du cabinet Vanson Bourne, 300 responsables IT d’entreprises aux États-Unis et une centaine d’autres au Royaume-Uni.

Il ressort en premier lieu que près des deux tiers des décisionnaires considèrent cette technique d’attaque comme une priorité en matière de sécurité : la première des priorités pour 20% d’entre eux et parmi les trois premières pour 42% des sondés. Rappelons que le spear phishing, ou harponnage, se distingue du phishing (hameçonnage) massif habituel par un ciblage limité, voire très précis, des destinataires amenés à recevoir des messages e-mail personnalisés visant à ôter tout soupçon d’attaque pour les induire en erreur et ouvrir les portes du réseau ou d’un service à un attaquant, ou encore obtenir des informations confidentielles. Le risque lié au spear phishing est donc bien réel dans l’esprit des responsables IT anglo-saxons.

84% des attaques passent les lignes de défense

Et pour cause ! Au cours des 12 derniers mois, 84% des répondants rapportent que des attaques par spear phishing ont réussi à passer leurs défenses de sécurité. Et ils reconnaissent que ces frappes ciblées sont responsables de 38% des attaques informatiques de leur entreprise. Un problème onéreux. Selon les déclarations recueillies, le coût moyen d’une attaque, réussie, par harponnage, s’élève à 1,6 million de dollars (1,47 million d’euros). Il monte à 1,8 million aux États-Unis. Sans compter l’impact des attaques sur la valeur de l’action qui, dans un cas sur six, se retrouve à la baisse. Et, dans 80% des réponses, l’incident génère des conséquences négatives dans l’organisation des entreprises, dont la perte de productivité pour 41% des cas (voir tableau ci-dessous).

Les profils des attaques se répartissent principalement entre les malwares (34%), le vol d’identifiants (30%) et la demande d’informations propres aux entreprises (25%). Quant aux vecteurs, l’e-mail s’impose largement. 90% des sondés le signalent parmi les tentatives d’attaques par spear phishing. Néanmoins, les cyber-criminels diversifient leurs méthodes. Ainsi, 48% des réponses citent la présence de spear phishing sur les plates-formes mobiles, et 40% dans les réseaux sociaux. Les supports amovibles (clés USB principalement) apparaissent encore dans 30% des réponses. Les départements visés se répartissent entre les équipes techniques (44%) et financières (43%). Les attaquants n’hésitent pas à viser le haut du panier : 27% des attaques concernent les CEO, 17% les CFO.

Sensibilisation des équipes

Face à ses risques, les entreprises réagissent. 71% de celles qui ont été interrogées déclare avoir implémenté une solution de sécurité spécifiquement anti spear phishing, une passerelle visant à filtrer les emails dans 80% des cas. Mais la technologie ne fait pas tout et le seul rempart efficace reste l’approche humaine. C’est du moins l’avis de 79% des organisations qui engagent des formations de sensibilisation de leurs employés sur la question (avec jusqu’à 4 tests par mois pour certaines).

« Le spear phishing continuera d’être une tactique largement utilisée par des cyber-attaquants qui considèrent l’ingénierie sociale par e-mail comme le chemin le plus facile pour entrer dans de nombreux systèmes par ailleurs fortement surveillés », commente Cloudmark. En témoigne les attaques spectaculaires en 2014 et 2015 auxquelles le spear phishing a été associé comme le malware Carbanak, qui a permis de subtiliser des centaines de millions de dollars à des banques, les dizaines de millions de comptes dérobés chez JPMorgan Chase ou encore la médiatique et catastrophique attaque de Sony Pictures fin 2014.

Lire également
Cybersécurité : l’essor du spear phishing en entreprise se confirme
Ingénierie sociale : les employés sont-ils le maillon faible de la cybersécurité ?
Un exercice anti-phishing tourne mal en Belgique

crédit photo © Don Mammoser / Shutterstock.com