Des recherches récentes ont souligné combien il est important pour les entreprises de mettre en place une série de défenses pour s’assurer que les emails de phishing n’arrivent pas dans les boîtes de réception de leurs victimes, et combien les protections contre le phishing des entreprises sont défaillantes.
Lesdites recherches ont été menées dans le but de déterminer la probabilité que les employés ouvrent les emails de phishing qui arrivent dans leurs boîtes de réception. Une étude alarmante a montré que près de trois-quarts des employés ont été dupés par un test de phishing et ont fourni leurs identifiants de connexion au soi-disant attaquant, qui n’était autre que la société de conseil Coalfire.
71% des 525 entreprises testées avaient au moins un employé qui avait divulgué ses identifiants de connexion lors du test de phishing, contre 63% l’année dernière. Dans 20% des entreprises, plus de la moitié des employés testés ont été victimes de l’escroquerie par phishing, contre 10% l’année dernière.
Une deuxième étude menée par GetApp a révélé qu’un quart des 714 entreprises interrogées ont déclaré avoir au moins un employé qui a répondu à une attaque de phishing et a divulgué ses identifiants de connexion. Dans 43% de ces entreprises, des employés ont également cliqué sur des emails de phishing.
Selon l’étude, seulement 27% des entreprises ont offert une formation de sensibilisation à la sécurité à leurs employés, 30% seulement effectuaient des simulations de phishing et 36% n’ont pas mis en place le système d’authentification multi-facteur sur les emails.
L’importance des défenses à plusieurs niveaux contre le phishing
Pour mettre en place une défense efficace contre le phishing et les autres cyberattaques, une approche approfondie de la sécurité est nécessaire. Les entreprises doivent mettre en place des défenses à plusieurs niveaux. Ainsi, si une mesure s’avère inefficace pour bloquer un email de phishing, d’autres prendront le relais pour assurer la protection de votre organisation.
Si de nombreuses entreprises sont victimes du phishing, c’est parce qu’elles se fient uniquement à la protection que leur offre Office 365. En fait, une étude réalisée par Avanan a révélé que les défenses contre le phishing d’Office 365 étaient efficaces pour bloquer la plupart des spams, mais 25 % des emails de phishing étaient livrés dans les boîtes de réception de leurs victimes.
Ce qu’il faut, c’est une plate-forme antispam et antiphishing avancée pouvant être superposée à Office 365 pour garantir le blocage des emails de phishing. SpamTitan peut être mis en œuvre de manière transparente dans les environnements Office 365 et offre une protection supérieure contre le phishing et les attaques de malwares. SpamTitan bloque plus de 99,9 % des spams/emails de phishing et 100 % des malwares connus. De plus, il intègre une série de fonctionnalités permettant d’identifier les menaces du type « zero day ».
Même si SpamTitan est hautement performant pour bloquer les attaques via la messagerie électronique, d’autres couches devraient être mises en place pour bloquer les attaques de phishing. Si jamais un email de phishing arrive dans une boîte de réception d’un employé, un filtre web assurera la protection de votre organisation en empêchant vos employés de visiter des sites web de phishing et des sites hébergeant des malwares. WebTitan est une puissante solution de filtrage DNS qui protège contre les attaques de phishing basées sur le web. Il ajoute une couche supplémentaire aux défenses contre le phishing et peut bloquer toutes les tentatives de vos employés de visiter des sites malveillants.
Il est toujours possible qu’un attaquant réussisse à obtenir les identifiants de connexion d’un employé. Assurez-vous donc que ces informations ne puissent pas être utilisées pour accéder au compte de la victime. Pour ce faire, vous devez adopter le concept d’authentification à plusieurs facteurs. L’authentification multifacteurs n’est pas infaillible, mais elle empêchera dans la majorité des cas l’utilisation des identifiants de connexion volées pour accéder à des comptes légitimes.
La formation de sensibilisation à la sécurité est également essentielle. Les employés constituent votre dernière ligne de défense en matière de protection web et ils seront toujours mis à l’épreuve.
Si les employés ne sont pas formés à l’identification des emails de phishing et d’autres menaces liées à la messagerie électronique, n’attendez pas à ce qu’ils reconnaissent les menaces des emails malveillants qui atterrissent dans leurs boîtes de réception. Une session de formation annuelle ne suffit plus, compte tenu du nombre d’attaques de phishing menées contre les entreprises et de la sophistication des attaques.
La formation de sensibilisation à la sécurité devrait consister en une session de formation annuelle avec des sessions de mise à jour régulières tout au long de l’année. Les employés devraient être tenus au courant des dernières tactiques utilisées par les cybercriminels pour les aider à identifier les nouveaux emails frauduleux qui pourraient contourner les défenses de sécurité du courrier électronique.
Les exercices de simulation de phishing sont également importants. Si ces simulations ne sont pas réalisées, les entreprises n’auront aucune idée de l’efficacité de leurs sessions de sensibilisation et ne pourront pas identifier les employés qui n’auront pas suivi la formation qu’ils ont reçue.