Le phishing est la forme la plus courante de cybercriminalité et est répandu dans tous les secteurs d’activité. Les attaques par hameçonnage sont des communications trompeuses masquées par des voix dignes de confiance, qui visent à inciter les gens à révéler des informations sensibles.

Elles deviennent de plus en plus sophistiquées et ciblées à mesure que la technologie évolue. Savez-vous que 91 % des cyberattaques commencent par un courriel d’hameçonnage ? C’est choquant, n’est-ce pas ?

Ces statistiques montrent que, quel que soit notre niveau de connaissances technologiques, n’importe qui peut être victime d’une attaque de phishing bien exécutée.

Alors que nous naviguons dans le monde en constante évolution des menaces en ligne, il est essentiel de comprendre les tactiques utilisées par les hameçonneurs et d’apprendre à identifier leurs signaux d’alarme.

Ce billet explore le monde des meilleures données sur le phishing, couvrant des sujets tels que les tendances mondiales des attaques, les contre-mesures et les stratégies de sensibilisation adoptées par diverses marques internationales, les types d’attaques et leur prévalence, les caractéristiques démographiques des victimes et leur impact, etc.

La cybersécurité n’est pas seulement un défi technique, c’est un défi humain, a déclaré James Clapper, ancien directeur du renseignement national des États-Unis.

Examinons les statistiques mondiales concernant l’efficacité de ces escroqueries malgré les efforts déployés pour les prévenir.

Phishing : une menace imminente en chiffres

A-Looming-Threat-in-Numbers
  • Inondation de spams : Chaque jour, 3,4 milliards de spams inondent nos boîtes de réception.
  • Malveillants: 1,2 % des courriels sont des pièges malveillants déguisés en messages innocents.
  • Google‘s : Chaque jour, Google fait preuve d’une grande fermeté en repoussant environ 100 millions de courriels d’hameçonnage, nous protégeant ainsi de ces dangers numériques.
  • Lefacteur humain: Le rapport DBIR 2022 de Verizon révèle une vérité qui donne à réfléchir : 82 % des violations de données impliquent une manipulation humaine par le biais du phishing ou d’informations d’identification volées.
  • BEC: Les attaques de type Business email compromise (BEC) ont fait un bond en avant en 2022, avec des détections en hausse de 35 % à 383 928, soulignant la vulnérabilité de la communication professionnelle.
  • Breach Bill: Les violations de données ont frappé fort en 2022, avec une moyenne de 4,35 millions de dollars par incident.
  • Desmillions perdus par minute: Astra Security révèle un chiffre stupéfiant : les entreprises ont perdu près de 1,7 milliard de dollars par minute en 2021 en raison d’escroqueries par hameçonnage.
  • Uncoût élevé: Les courriels indésirables ne sont pas seulement ennuyeux, ils sont aussi coûteux. Les entreprises perdent 20,5 milliards de dollars par an à cause de ces messages indésirables.
  • Coûts liés au désabonnement des clients: Les revenus ne sont pas non plus à l’abri du phishing. 46 % des entreprises ont constaté une désaffection de la clientèle à la suite de ces attaques, ce qui montre bien les conséquences plus générales de ce phénomène.

Les conséquences financières du phishing sont alarmantes, comme le montrent ces statistiques étonnantes. Il existe cependant des moyens de se prémunir contre ce type d’attaque, notamment en formant les employés et en mettant en place une bonne sécurité des courriels, ainsi qu’en adoptant un comportement vigilant en ligne. Veillez à votre sécurité en restant vigilant dans le monde moderne des technologies de l’information et de la communication.

Fréquence des attaques de phishing

150 milliards de courriels non sollicités sont envoyés chaque jour, dont beaucoup contiennent des liens d’hameçonnage

Avec plus de 150 milliards de spams envoyés chaque jour, il n’est pas étonnant qu’ils représentent 45 % de l’ensemble du trafic mondial de courriers électroniques. Les principaux pays concernés sont les États-Unis, la Chine, la Russie (près de 30 %) et le Brésil.

150-billion-spam-emails

Les attaques par hameçonnage ont été la forme de cybercriminalité la plus courante signalée au FBI en 2022

La cybercriminalité a rapporté plus de 10 milliards de dollars en 2022, avec plus de 800 000 victimes signalées à l’Internet Crime Complaint Center (IC3) du FBI. Les escroqueries par hameçonnage, qui ont fait l’objet de plus de 300 000 plaintes, ont été le crime le plus répandu.

Étonnamment, ce sont les escroqueries à l’investissement qui ont entraîné les pertes financières les plus importantes pour les victimes – une première pour les données de l’IC3. Les citoyens âgés de 30 à 39 ans constituent le groupe le plus important, tandis que les personnes âgées de plus de 60 ans subissent les dommages financiers les plus importants.

83 % des organisations dans le monde ont subi au moins une attaque par hameçonnage en 2023

Verizon a publié le 2023 Data Breach Investigations Report (DBIR) avec des statistiques intéressantes sur l’état des cybermenaces. Selon une analyse approfondie de plusieurs organisations, les résultats indiquent qu’environ 83 % des organisations, soit une grande majorité, ont subi au moins une attaque par hameçonnage au cours de l’année écoulée.

Le rapport détaille également les attaques par ingénierie sociale, qui représentent 82 % des brèches et sont souvent représentées sournoisement par des courriels frauduleux ou des escroqueries de type “pretexting”.

Le spam et le phishing ont grimpé en flèche en 2022 : près de la moitié des courriels étaient des spams, dont un grand nombre contenaient des escroqueries par phishing

Selon Statista, près de la moitié des courriels envoyés dans le monde étaient des spams, ce qui suscite des inquiétudes quant à la sécurité en ligne et à l’efficacité de la communication. Bien qu’il s’agisse d’une légère augmentation par rapport à 2021, près de la moitié de tous les courriels dans le monde ont été classés comme spam en 2022. La baisse du nombre de spams depuis 2011 témoigne de l’amélioration des systèmes de filtrage et de la sensibilisation des utilisateurs, mais la vigilance reste de mise.

global-spam-volume

54 % des attaques de phishing réussies aboutissent à une violation des données des clients

En 2021, 54 % des attaques de phishing ont abouti à une violation des données d’un client, et 48 % à la compromission d’informations d’identification et de comptes. De manière choquante, 83 % des organisations ont été victimes d’attaques réussies, d’après les données recueillies par l’équipe Atlas VPN.

54-percent-phishing-attacks

Statistiques de Proofpoint sur le phishing en 2023

Dans son neuvième rapport annuel sur l’état du phishing, Proofpoint s’est plongé dans le monde complexe des techniques d’hameçonnage. Ses conclusions révèlent comment les attaquants continuent à prendre l’avantage et mettent en lumière leurs tactiques les plus utilisées.

Voici quelques-unes des statistiques les plus stupéfiantes :

44 % des personnes pensent que les courriels de marque sont dignes de confiance, alors que plus de 30 millions de messages malveillants en 2022 étaient déguisés avec la marque ou les produits de Microsoft.

Un autre moyen unique adopté par les pirates est l’attaque par téléphone, qui donne lieu à environ 300 à 400 000 tentatives par jour et qui a atteint un pic de 600 000 tentatives quotidiennes au mois d’août.

Toutes ces attaques de phishing ont entraîné une augmentation de 76 % des pertes financières directes. Il est intéressant de noter que le signalement par les utilisateurs a joué un rôle important dans l’échec d’environ une menace sur dix, pour un nombre total de tentatives dépassant les 75 millions.

La vague d’hameçonnage de Microsoft : En hausse de 10 % au quatrième trimestre, il représente désormais 41 % des escroqueries par vol d’informations d’identification

Il n’est pas surprenant que les produits Microsoft soient si omniprésents dans les organisations du monde entier que cette suite constitue une riche source de cibles pour les cybercriminels. Comme l’indique le rapport 2023 BEC Trends, Targets, and Changes in Techniques Report de Fortra, le vol d’informations d’identification dans le cadre de la compromission d’e-mails professionnels (BEC) a connu une tendance à la hausse après une baisse observée au second semestre 2022. En fait, au premier trimestre, le vol d’identité était en tête de tous les types de menaces liées à l’usurpation d’identité par courrier électronique.

Cette augmentation s’explique en grande partie par un pic, d’un trimestre à l’autre, des e-mails de phishing usurpant l’identité de Microsoft O365, qui représentent près de 41 % de tous les cas de phishing pour vol d’informations d’identification.

Victimes et impact

La génération Z et les milléniaux sont les plus touchés par les e-mails frauduleux

À l’ère du numérique, on pense que les personnes plus âgées, qui ne sont peut-être pas aussi familières avec la technologie, sont plus susceptibles d’être victimes d’escroqueries en ligne. Pourtant, une récente analyse de données réalisée par l ‘équipe d’Atlas VPN révèle que ce n’est pas du tout le cas.

De manière assez surprenante, les Millennials et les membres de la génération Z aux États-Unis sont plus souvent victimes d’emails de phishing que leurs homologues plus âgés. En fait, 23 % des membres de la génération Z et de la génération du millénaire ont déjà été trompés par ces courriels frauduleux.

Millennials-GenZers-phishing-attacks

De nombreuses sources affirment que 90 % des cyberattaques commencent par un hameçonnage

Les statistiques montrent que 80 à 95 % des cyberattaques sont initiées par des courriels d’hameçonnage.

  • Le dernier rapport de CISCO sur les tendances des menaces en matière de cybersécurité révèle que 90 % des violations de données sont dues à des tentatives d’hameçonnage réussies.
  • Lerapport de Cloudflare sur les menaces d’hameçonnage prévoit que cette tendance se poursuivra, l’hameçonnage par courriel représentant près de 90 % de toutes les cyberattaques d’ici à 2023.
  • Dans le même ordre d’idées, Comcast Business souligne qu’environ 80 à 95 % des cybermenaces proviennent d’attaques réussies par hameçonnage par courrier électronique.

Violation de données : le coût moyen atteint 4,45 millions de dollars (en hausse de 15 % en trois ans)

IBM a publié un rapport sur les violations de données en 2023, basé sur les réponses fournies par la majorité de plus de 550 organisations qui ont connu des incidents respectifs. Le rapport indique que le coût moyen d’une violation de données à l’échelle mondiale s’élève à 4,45 millions de dollars, ce qui représente une augmentation de 15 % en l’espace de trois ans.

Le rapport montre également que les entreprises qui utilisent des technologies avancées telles que l’intelligence artificielle et l’automatisation peuvent économiser jusqu’à 1,76 million d’USD par rapport à celles qui ne les utilisent pas de manière intensive.

La finance, l’énergie et l’industrie manufacturière en tête de liste

Les victimes des taux élevés d’attaques par hameçonnage sont principalement les entreprises des secteurs de la finance, de l’énergie et de l’industrie manufacturière. Des statistiques récentes révèlent que le secteur de l’énergie est ciblé à 60 %, suivi par la finance et surtout l’industrie manufacturière à 46 % et 40 %, respectivement.

1 minute, 1,7 milliard de dollars disparus : Les attaques de phishing ont frappé fort en 2021

Selon un rapport, à l’échelle mondiale, près de 1,7 milliard de dollars ont été perdus par minute en 2021 à la suite d’attaques de phishing, ce qui a entraîné une augmentation de 65 % des pertes mondiales entre juillet 2019 et décembre 2021.

Types et tendances

Le phishing en masse règne en maître : il touchera 85 % des entreprises en 2022

Selon Statista, dans le paysage numérique actuel, la cybercriminalité représente un risque important car elle prend différentes formes et plateformes. La forme la plus courante est l’hameçonnage en masse, dont 85 % des entreprises mondiales seront victimes en 2022.

Alerte à la menace du smishing : 75 % des organisations en ont été victimes en 2022

En 2022, le phishing mobile, également connu sous le nom de smishing, a connu une augmentation notable. Selon les données de Proofpoint, 75 % des organisations ont été confrontées à cette menace non basée sur le courrier électronique, ce qui en fait la cinquième attaque la plus importante. Cette forme d’attaque comprend le phishing par SMS, le vishing (phishing vocal) et le quishing (phishing par code QR).

Mobile-phishing-attacks

Plus de la moitié des attaques de phishing ont utilisé des pièces jointes de spear phishing

Le X-Force Threat Intelligence Index 2023, le rapport d’IBM Security, fournit des informations raisonnables aux équipes de sécurité ainsi qu’aux chefs d’entreprise afin de mieux comprendre les menaces d’attaques. L’un des facteurs marquants du rapport est que plus de la moitié des attaques de phishing efficaces utilisent des pièces jointes de spear phishing, ce qui en fait l’une des préoccupations les plus critiques pour les organisations qui cherchent à mettre en place des mesures de protection proactives.

Points chauds du smishing : Le Pérou et les Bahamas les plus durement touchés en 2022

Les tactiques d’hameçonnage continuent d’évoluer de la même manière que la technologie. L’une de ces méthodes s’appelle le smishing, qui consiste à lancer des attaques par le biais de téléphones portables.

Un rapport de Statista montre qu’en 2022, 75 % des organisations du monde entier ont été victimes de ce type d’attaque. C’est dans des pays comme le Pérou et les Bahamas que l’on trouve le plus grand nombre de cas signalés de vol d’informations d’identification par le biais de systèmes d’hameçonnage.

Le phishing de livraison a grimpé en flèche en 2022 : 27 % des attaques

Les finances ont occupé le devant de la scène dans le phishing au quatrième trimestre 2022, suivies de près par les logiciels et les courriels. Un rapport de recherche indique que les services de livraison n’ont pas été épargnés non plus, avec plus de 27 % des attaques. Les entreprises et les médias ont été les plus touchés sur le plan financier, tandis que les ingénieurs ont le plus souvent échoué aux tests d’hameçonnage, ce qui constitue un signal d’alarme en matière de formation numérique.

Les failles de phishing restent cachées pendant près d’un an (295 jours), ce qui en fait la troisième cybermenace la plus longue

Selon le rapport d’IBM sur les atteintes à la protection des données, les mots de passe défectueux sont la cause principale des atteintes à la protection des données, puisqu’il faut 327 jours pour les trouver et qu’ils coûtent des millions. Les escroqueries par courrier électronique s’attardent pendant 308 jours, ce qui représente également un coût élevé de 4,89 millions de dollars par infraction. Si le phishing est détecté au bout de 295 jours, c’est la première attaque qui est la plus grave, avec un coût moyen de 4,91 millions de dollars.

phishing-related-breaches-295-days

Contre-mesures et sensibilisation

Dans la section précédente, nous avons donné des détails sur les attaques de phishing et les coûts associés, les tendances, les industries touchées, etc. Dans cette sous-partie, nous verrons comment les principales organisations prennent des mesures pour prévenir les attaques de phishing.

Google bloque environ 100 millions d’e-mails de phishing par jour

L’arsenal de lutte contre le spam de Google vient de s’affiner ! Grâce à TensorFlow, ses nouvelles défenses bloquent 100 millions de messages de spam supplémentaires par jour. Cette IA permet d’attraper les spams les plus délicats, comme les contenus cachés, les messages basés sur des images, et même les messages provenant de domaines nouvellement créés.

33.2 % des employés dans le monde tombent dans le piège de l’hameçonnage avant d’avoir été formés

Les chiffres du rapport KnowBe4 2023 Phishing by Industry Benchmarking Report mettent en évidence les résultats de la formation des employés en matière de sensibilisation à la sécurité. Le rapport indique qu’avant la formation, environ 33,2 % des membres du personnel n’étaient pas en mesure de réussir un test d’hameçonnage. Ce pourcentage a été ramené à 18,5 % après une période de 90 jours de formation, puis à 5,4 % après un an de formation.

KnowBe4-2023-Phishing-by-Industry

Les secteurs de l’ingénierie, de l’aérospatiale et de l’exploitation minière affichent les taux d’échec les plus élevés dans les simulations d’hameçonnage

La sensibilité des différents secteurs aux attaques de phishing a révélé des tendances surprenantes dans une récente étude mondiale. Le rapport de Statista montre que les fabricants d’électronique sont en tête de liste des secteurs vulnérables, avec un taux inquiétant de 14 % d’employés tombant dans le piège des tentatives de hameçonnage. Viennent ensuite les entreprises aérospatiales et minières, avec un taux d’échec de 13 %. À l’inverse, les cabinets d’avocats ont enregistré une nette amélioration par rapport aux 11 % de l’année dernière et deviendront le secteur où le taux d’échec sera le plus faible en 2022.

engineering-aerospace-phishing-simulations

Les champions de l’usurpation d’identité : Amazon, Google, Facebook, WhatsApp

AstraSecurityAudit: Top Brands Most Spoofed for Phishing : Amazon, Google (13%), Facebook, Whatsapp (9%), Netflix, Apple(2%)

Le phishing absorbe la moitié du temps consacré par les professionnels de l’informatique à la cybersécurité

IronScales indique que les professionnels de l’informatique consacrent 52 % de leur temps à la gestion des problèmes de cybersécurité et que 37 % d’entre eux considèrent que le phishing est le type d’attaque qui consomme le plus de ressources.

40 % des personnes interrogées se laissent convaincre par la fausse urgence des courriels des RH et omettent des vérifications cruciales

La sécurité des courriels est une priorité absolue pour tous les types d’entreprises, car les pirates informatiques profitent de notre comportement habituel et de notre sentiment d’urgence. La dernière analyse de KnowBe4 montre que 40 % de ces messages trompeurs destinés à la manipulation imitent les messagers des RH dans le but de traiter les employés en termes de stabilité de l’emploi ou de manque de temps.

Ainsi, les liens de phishing déguisés peuvent contenir des pièces jointes et des demandes malveillantes comme s’ils provenaient d’un service de ressources humaines.

Le coût des attaques de phishing aux États-Unis est passé de 3,8 millions de dollars en 2015 à 14,8 millions de dollars en 2022

Hippa Journal: Le secteur de la santé est désormais confronté à un coût de 14,8 millions de dollars par attaque, soit quatre fois plus qu’en 2015. Non seulement les faux courriels coûtent 6 millions de dollars en récupération, mais les heures de travail perdues représentent 65 343 heures supplémentaires, ce qui pèse doublement sur les opérations et les budgets.

Dernières paroles

La technologie et les tactiques évoluant rapidement, il est important de rester vigilant face au paysage changeant des attaques de phishing. L’ignorance ou l’incompétence peuvent facilement conduire à des résultats désastreux en termes d’impact financier et opérationnel.

Nous devons traiter cette menace imminente avec sérieux ; bien que les chiffres alarmants puissent être assez décourageants, il y a des développements encourageants dans la technologie ainsi que dans la sécurité qui peuvent donner l’espoir d’une diminution des incidents d’attaques par hameçonnage réussies.

Grâce à l’interaction entre les personnes et les organisations, nous pouvons créer un environnement numérique plus sûr dans lequel les transactions et les communications peuvent se dérouler en toute confiance.