Le rapport d'analyse comparative annuel sur l'hameçonnage de KnowBe4 montre que l'attention portée à l'élément humain reste la meilleure protection contre les cybermenaces

KnowBe4, le fournisseur de la plus grande plateforme de formation et de sensibilisation à la sécurité et de simulation d'hameçonnage au monde, a publié aujourd'hui son nouveau Rapport 2024 d'analyse comparative sur l'hameçonnage par secteur d'activité (2024 Phishing by Industry Benchmarking Report) qui mesure le pourcentage de vulnérabilité face au hameçonnage (Phish-pronetm Percentage, PPP), lequel indique combien de leurs employés sont susceptibles de tomber dans les pièges d'hameçonnage ou d'ingénierie sociale.

Le rapport de cette année révèle que, d'après les tests de référence effectués dans tous les secteurs d'activité, 34,3 % des employés sont susceptibles de cliquer sur des liens malveillants ou de répondre à des demandes frauduleuses s'ils n'ont pas été formés et sensibilisés à la sécurité. Ce chiffre, qui représente une augmentation de plus d'un pour cent par rapport au rapport de 2023, souligne l'importance d'instaurer une solide culture de la sécurité au sein des organisations afin d'atténuer le risque humain et de se prémunir contre les cybermenaces.

KnowBe4 a analysé plus de 54 millions de tests d'hameçonnage simulé réalisés auprès de plus de 11,9 millions d'utilisateurs de 55?675 organisations dans 19 secteurs d'activité différents. Le PPP de référence qui en résulte mesure le pourcentage d'employés dans ces organisations qui n'ont pas suivi de formation à la sécurité KnowBe4, et qui ont cliqué sur un lien d'hameçonnage simulé dans leurs courriels ou qui ont ouvert une pièce jointe infectée pendant le test.

Le rapport met en évidence un point crucial : lorsque les tests de sécurité visant à reconnaître l'hameçonnage sont intégrés à la formation de sensibilisation à la sécurité, cela donne de bons résultats. Les organisations qui s'engagent à organiser régulièrement des formations et des tests de sensibilisation à la sécurité après le test initial de référence ont vu leur PPP moyen chuter à seulement 18,9 % dans les 90 jours qui ont suivi. Après 12 mois de formation et de tests continus, le PPP a cette fois chuté à 4,6 %. Ces résultats montrent que pour transformer la culture de la cybersécurité, il faut d'abord rompre avec les habitudes existantes pour les remplacer par des pratiques plus sûres. Lorsque les employés commencent à adopter de nouveaux comportements, ces comportements deviennent des habitudes qui, au fil du temps, se transforment en pratiques courantes qui façonnent la culture de l'organisation et qui, à leur tour, créent une main-d'oeuvre capable d'instinct de faire de la sécurité une priorité dans son travail quotidien.

Les secteurs particulièrement vulnérables aux cybermenaces qui obtiennent le PPP le plus élevé et qui ont un besoin urgent en matière de formation et de sensibilisation à la sécurité sont également abordés dans le rapport. L'industrie des soins de santé et des produits pharmaceutiques reste dans la catégorie à haut risque avec le PPP le plus élevé au sein des petites et grandes entreprises, avec des scores respectifs de 34,7 % et 51,4 %. Parmi les organisations de taille moyenne, le secteur de l'hôtellerie et de la restauration occupe le haut du tableau pour la deuxième fois en trois ans, avec un score de 39,7 %.

Ce rapport réitère le rôle crucial que joue l'élément humain dans la cybersécurité. Bien que la technologie soit importante pour prévenir les cyberattaques et y remédier, l'erreur humaine reste un facteur déterminant dans les violations de données. De fait, si l'on en croit le Rapport d'enquête 2024 sur les violations de données de Verizon, 68 % de ces violations sont dues à des actions accidentelles, à l'utilisation d'informations d'identification volées, à l'ingénierie sociale et à l'utilisation malveillante de privilèges. Même si cela représente une amélioration par rapport aux 74 % de l'an dernier, les organisations doivent continuer à se concentrer sur le renforcement du pare-feu humain afin de se protéger contre les cybermenaces.

Un nouveau vecteur de menace mis en évidence dans le rapport de cette année est l'adoption rapide de l'IA dans certaines industries, qui entraîne des risques supplémentaires si sa mise en oeuvre n'est pas accompagnée de mesures de cybersécurité solides.

« Les données ne mentent pas : une formation régulière et ciblée en matière de sécurité modifie la façon dont les employés interagissent avec les menaces potentielles. Nos objectifs sont d'éduquer les personnes et de transformer les comportements, pour arriver à ce que les employés mettent d'instinct la sécurité au premier plan », a déclaré Stu Sjouwerman, PDG de KnowBe4. « Par ailleurs, nous voyons émerger des cybermenaces plus sophistiquées en raison de l'IA, et le besoin de formation est impératif. »

Le rapport de cette année compare également les résultats internationaux en matière d'hameçonnage, en se penchant sur l'Amérique du Nord, l'Amérique du Sud, l'Europe, le Royaume-Uni et l'Irlande, l'Afrique, l'Asie, l'Australie et la Nouvelle-Zélande.

Pour télécharger une copie du Rapport 2024 d'analyse comparative sur l'hameçonnage par secteur d'activité de KnowBe4, cliquez ici.

À propos de KnowBe4

KnowBe4, fournisseur de la plus grande plateforme de formation à la sensibilisation à la sécurité et de simulation d'hameçonnage au monde, est utilisée par plus de 65 000 organisations dans le monde entier. Fondée par Stu Sjouwerman, spécialiste des technologies de l'information et de la sécurité des données, KnowBe4 aide les organisations à aborder l'élément humain de la sécurité en les sensibilisant aux rançongiciels, à la fraude des PDG et à d'autres tactiques d'ingénierie sociale grâce à une approche nouvelle de la formation à la sensibilisation à la sécurité. Le regretté Kevin Mitnick, spécialiste de la cybersécurité de renommée internationale et Responsable du piratage informatique de KnowBe4, a contribué à la conception de la formation KnowBe4 en s'inspirant de ses tactiques d'ingénierie sociale bien documentées. Les organisations s'appuient sur KnowBe4 pour mobiliser leurs utilisateurs finaux en tant que dernière ligne de défense et font confiance à la plateforme KnowBe4 pour renforcer leur culture de la sécurité et réduire les risques humains.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.