Cybersécurité: une étude sur le risque de phishing

31% des utilisateurs finaux non formés ne réussiraient pas un test de phishing. Tel est le résultat d'une récente étude de KnowBe4 sur le phishing. Les formations régulières des collaboratrices et collaborateurs sur la sécurité permettent d’améliorer sensiblement le résultat.

Pour les cybercriminels, le personnel est la principale faille par laquelle ils peuvent pénétrer dans une entreprise. Si les utilisateurs finaux manquent de connaissances et d’attention, ils risquent de prendre des décisions erronées en matière de sécurité.

Les entreprises doivent donc savoir comment leurs collaboratrices et collaborateurs et collaboratrices réagissent aux cybermenaces lorsqu’ils reçoivent des courriels de phishing (hameçonnage), cliquent-ils sur le lien? Divulguent-ils des données de connexion? Téléchargent-ils un logiciel malveillant (malware, pourriel)? Ou encore: signalent-ils les éventuelles tentatives de phishing et jouent-ils un rôle actif dans la prévention contre les dangers?

Une étude mondiale sur le risque de phishing

Notre partenaire KnowBe4 réalise auprès d’entreprises chaque année une étude à l’échelle mondiale consistant à mesurer la vulnérabilité au phishing, également appelée PPP, en fonction de la région et de la taille de l’entreprise.

Le PPP (Phish-prone™ Percentage) désigne la probabilité pour une collaboratrice ou un collaborateur d’être victime de phishing ou d’ingénierie sociale (fraude psychologique).

La dernière étude en date (résultats de 2023) analyse les données de 35 681 entreprises du monde entier dans 19 secteurs. Elle s’appuie sur la réalisation de 32,1 millions de de tests de phishing par simulation d’hameçonnage. Vous trouverez ci-dessous le résumé des principaux résultats de l'étude.

Les formations régulières font baisser massivement la vulnérabilité au phishing

Les analyses des entreprises de la région DACH (Allemagne, Autriche, Suisse) mettent en évidence les éléments suivants:

Après les tests standards sans formation sur la sécurité, le PPP était encore de 31 %. En d’autres termes, un tiers des collaboratrices et collaborateurs ont cliqué sur un lien douteux ou ont répondu à une demande frauduleuse.

Si les entreprises avaient auparavant mis en œuvre un mélange de formations et de tests de simulation de phishing, les résultats étaient nettement différents. 90 jours après la réalisation de formations régulières sur la sécurité, le PPP tombait en moyenne à 20 %. Douze mois après la formation sur la sécurité et les tests de simulation de phishing, le PPP n’était plus que de 6 % en moyenne.

Conclusion: l’étude démontre de manière éclatante l’efficacité des formations de sensibilisation à la cybersécurité.

Résultats des tests dans la région DACH en fonction de la taille de l’entreprise

• Phase 1: résultats des tests de phishing chez les collaboratrices et collaborateurs n’ayant encore suivi aucune formation
• Phase 2: résultats des tests de phishing chez les collaboratrices et collaborateurs au cours des 90 jours suivant la première formation
• Phase 3: résultats des tests de phishing chez les collaboratrices et collaborateurs après au moins un an de formations régulières

Goutte à goutte, l’eau creuse la pierre

De nombreuses entreprises considèrent les formations de sensibilisation à la cybersécurité comme un programme imposé, un point à cocher sur une checklist. La sensibilité d’une collaboratrice ou d’un collaborateur à la sécurité n’est toutefois pas comme un interrupteur que l’on peut allumer ou éteindre. Seule une formation complète et continue pourra effectivement modifier le comportement. Cela permet d’améliorer la culture de la sécurité au sein de l’entreprise, et les nouvelles habitudes se transforment en normalité.

Un rapport de benchmarking comportant d’autres informations

Vous retrouverez tous les résultats, analyses et informations de fond sur l’étude dans la «Phishing Benchmarking Analysis» de KnowBe4 «Phishing Benchmarking 2023 – Report für Deutschland, Österreich und die Schweiz» (Phishing Benchmarking 2023 – rapport pour l’Allemagne, l’Autriche et la Suisse»). L'étude n'est que disponible en allemand