Les professionnels de l’informatique savent depuis longtemps que les employés sont le maillon faible de la chaîne de sécurité. Des études récentes ont confirmé que c’est vraiment le cas.
Les employés ne savent pas identifier les emails de phishing et les autres menaces basées sur la messagerie électronique, et beaucoup d’entre eux n’ont reçu aucune formation concernant la sécurité informatique. De plus, les escroqueries de phishing sont de plus en plus ciblées et sophistiquées, ce qui augmente leurs chances de réussir.
Il est difficile de déterminer le nombre d’attaques de phishing réussies contre les entreprises, car de nombreuses attaques ne sont pas signalées, même lorsqu’elles entraînent l’atteinte à la protection des données des consommateurs. Dans les secteurs réglementés, tels que le secteur des soins de santé aux États-Unis, le tableau est beaucoup plus clair.
La loi HIPAA, ou « Health Insurance Portability and Accountability Act », oblige les organismes de soins de santé de signaler les violations des informations sur les patients. Les rapports concernant la violation de données ayant entraîné l’exposition de 500 enregistrements ou plus doivent aussi être rendue publique et être consultable sur le portail du Bureau des droits civils (OCR) du Département de la santé et des services sociaux.
Rien qu’en 2019, il y a eu au moins 147 cas de piratage de comptes de messagerie électronique. Le coût de ces violations est stupéfiant. Dans ces 147 incidents, les comptes de messagerie électronique piratés contenaient les dossiers de 2 762 691 personnes.
Selon le rapport d’une étude menée par Ponemon Institute, sponsorisée par IBM Security, sur le coût d’une violation de données dans le secteur de la santé en 2019, le coût par dossier médical exposé est d’environ 381 euros. Au total, le coût de la violation de données lors de ces 147 incidents a donc probablement atteint 1 053 813 231 euros.
Une étude récente menée par GetApp a confirmé la fréquence des attaques de phishing dans d’autres secteurs d’activité. Dans le cadre de cette étude, 714 personnes ont été interrogées dans diverses entreprises aux États-Unis. Près d’un quart de ces entreprises ont subi au moins une attaque de phishing réussie et 43 % des employés ont déclaré qu’un membre de leur organisation avait cliqué sur un email de phishing.
L’objectif de l’étude était d’examiner si les entreprises dispensaient à leurs employés une formation de sensibilisation à la sécurité pour les aider à identifier les emails de phishing. Seulement 27 % des entreprises l’ont fait. Il n’est donc pas surprenant que les employés tombent souvent dans le piège du phishing.
Il est essentiel d’offrir une formation de sensibilisation à la sécurité, en mettant l’accent sur le phishing et l’ingénierie sociale. Même avec des défenses à plusieurs niveaux, certains emails de phishing peuvent toujours arriver dans les boîtes de réception de vos employés.
Il faut donc les former pour les aider à identifier les menaces par email. Ensuite, ils doivent être testés par le biais des simulations de phishing par email. Cela permet à votre équipe informatique de savoir si vos employés ont bien pris en compte leur formation. Avec le temps, leur capacité d’identification du phishing s’améliorera.
Il convient de noter que la formation des employés à la sensibilisation à la sécurité est une exigence de l’HIPAA, et pourtant de nombreux employés sont encore trompés par le phishing. La formation et les simulations peuvent contribuer à réduire la vulnérabilité de votre organisation aux attaques de phishing, mais vos employés, en tant qu’êtres humains, continueront à commettre des erreurs.
La solution consiste à mettre en place des défenses à plusieurs niveaux. Aucune solution de cybersécurité ne pourra bloquer toutes les tentatives de phishing, et certainement pas sans bloquer de nombreuses communications électroniques légitimes au sein de votre entreprise. De multiples solutions sont donc nécessaires.
Il est essentiel de mettre en place des solutions de protections avancées de la messagerie électronique pour empêcher les emails de phishing et les spams d’atteindre les boîtes de réception de vos employés. Autrement dit, il vous faudra aussi mettre en place une solution avancée en matière de filtrage des spams.
SpamTitan : la solution pour se protéger du spam et du phishing
SpamTitan a été testé de manière indépendante et il a été démontré qu’il peut bloquer plus de 99,9 % des spams et 100 % des emails contenant des malwares connus. SpamTitan bloque également les menaces du type « zero day » grâce à une combinaison de techniques de détection avancées.
SpamTitan peut faire cela grâce à des analyses heuristiques, l’utilisation des listes noires, des scores de confiance, des listes grises et des bacs à sable, l’authentification DMARC et la vérification du nom de domaine SPF, pour n’en citer que quelques-uns.
SpamTitan a également été développé pour compléter la sécurité d’Office 365 et pour fournir un niveau de protection plus élevé contre le phishing et les autres attaques lancées via la messagerie électronique. A noter que, selon une étude réalisée par Avanan, il a été démontré que 25 % des emails de phishing contournent les défenses d’Office 365 et arrivent dans les boîtes de réception des employés.
Si les emails de phishing arrivent dans les boîtes de réception de vos employés et sont ouverts, d’autres contrôles sont nécessaires pour empêcher que les clics sur des liens intégrés dans les messages ne provoquent aucune infection par des malwares ou le vol des identifiants. Il est donc important de mettre en place une solution de filtrage du web telle que WebTitan.
Lorsqu’un employé clique un lien intégré dans un email, avant que la page web ne s’affiche, l’URL et le contenu de la page web sont vérifiés. L’utilisateur sera donc empêché de visiter la page web si celle-ci, ou son domaine, représente une menace de phishing ou risque de diffuser des malwares.
Les téléchargements de malwares peuvent également être bloqués sur les sites web, même ceux qui ont un score de confiance élevé.
Ensemble, SpamTitan et WebTitan peuvent constituer l’épine dorsale de vos défenses contre le phishing. De plus, ces deux solutions sont rapides et faciles à mettre en œuvre ; simples à utiliser et à entretenir. De plus, elles sont peu coûteuses.
Ajoutez à cela une protection antivirus, une authentification multifacteur et une formation de vos employés, et vous serez bien protégé contre le phishing et les attaques de malwares lancés via la messagerie électronique et le web.
Pour plus d’informations sur l’amélioration de vos défenses contre le phishing, le spear phishing et les malwares, appelez l’équipe de TitanHQ dès aujourd’hui. Si vous êtes un fournisseur de services gérés qui dessert le marché des PME, contactez-nous et découvrez pourquoi TitanHQ est le premier fournisseur de solutions de sécurité de la messagerie électronique et du web basées dans le cloud.