Discussion :

[Jade Emy]

81 % des professionnels de la sécurité estiment que le Phishing est la principale menace, suivie par les logiciels malveillants, les ransomwares et la perte accidentelle de données, selon Fortra.

Une nouvelle étude de Fortra examine les défis auxquels les professionnels de la sécurité ont été confrontés au cours de l'année écoulée, ainsi que ce sur quoi ils prévoient de se concentrer à l'avenir, alors qu'ils continuent d'adopter la transformation numérique, de nouvelles infrastructures hybrides et un paysage de sécurité difficile. Parmi les résultats, 81 % des professionnels de la sécurité estiment que le phishing est la principale menace, et 74 % pense qu'il faut limiter ces menaces extérieures.

L'étude de Fortra révèle que la plupart des organisations prévoient que le phishing (81 %), les logiciels malveillants et les ransomwares (76 %), et la perte accidentelle de données (63 %) seront les principaux risques de sécurité au cours des six prochains mois, suivis par l'ingénierie sociale (55 %) et les risques liés à des tiers (52 %).

Face à ces menaces, les cinq principales initiatives de cybersécurité pour cette année sont les suivantes : limiter les menaces extérieures telles que le phishing et les logiciels malveillants (74 %), trouver et combler les lacunes en matière de sécurité (73 %), améliorer la culture de la sécurité (66 %), sécuriser le cloud (63 %) et la conformité (62 %).

"Bien que ces préoccupations puissent sembler disparates, elles sont toutes liées à la course effrénée vers le cloud", déclare Antonio Sanchez, principal évangéliste en cybersécurité chez Fortra. "Les impacts de cette migration rapide - politiques faibles, mauvaise sécurité des conteneurs, mauvaises configurations et failles de sécurité béantes - se sont fait sentir en 2023 et les conséquences se feront encore sentir cette année."

Le rapport se penche également sur les freins à l'exécution des stratégies de sécurité, avec en tête de liste les limitations budgétaires (54 %), l'évolution constante des menaces (45 %) et le manque de compétences en matière de sécurité (45 %). En outre, l'enquête a révélé que si tout le monde cherche à mettre en œuvre les principes de la confiance zéro, un quart d'entre eux ont déclaré qu'ils ne prévoyaient pas de le faire en raison de ressources insuffisantes.

En outre, 67 % déclarent se concentrer sur l'amélioration des compétences de leur personnel, tandis que les organisations se tournent également vers les services de sécurité gérés pour se décharger d'une partie du poids. Les domaines les plus populaires à externaliser sont la sécurité du courrier électronique et l'anti-phishing (58 %), la gestion des vulnérabilités (52 %), la protection des données (51 %) et la conformité (40 %).

Josh Davies, directeur technique principal chez Fortra, déclare : "L'épuisement professionnel est une tendance qui pousse les personnes qualifiées à quitter les organisations ou à passer à des rôles avec des responsabilités plus ciblées. Cette situation accroît le stress du personnel restant, qui doit continuer à fournir les résultats requis avec moins d'effectifs. Nous constatons une augmentation de l'adoption des services de sécurité gérés pour soulager une partie de leur charge opérationnelle."

Source : Fortra

Et vous ?

Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur ces questions ?

Voir aussi :

Gartner identifie les principales tendances en matière de cybersécurité pour 2023. Les chefs de la sécurité doivent s'orienter vers une approche centrée sur l'humain pour une cybersécurité efficace

71 % des organisations manquent de personnel en cybersécurité, 66 % des professionnels de la cybersécurité estiment que leur travail est devenu plus difficile, selon une étude de l'ESG et de l'ISSA

55 % des professionnels de la cybersécurité déclarent vouloir changer d'emploi, 63 % d'entre eux sont victimes d'épuisement professionnel en raison des cyberattaques incessantes

[Jade Emy]

Les attaques par phishing ou hameçonnage de données d'identification ont augmenté de façon spectaculaire au cours du second semestre 2024, avec une hausse de 703 %, selon SlashNext

Un rapport de SlashNext révèle que les attaques de vol d'informations d'identification ou attaque par phishing ont fait un bond spectaculaire au cours du second semestre 2024, augmentant de 703 %. Le rapport montre que dans l'ensemble, les menaces basées sur le courrier électronique ont augmenté de 202 % au cours de la même période.

Le phishing ou attaque par hameçonnage est une attaque pour "pêcher" des informations sensibles. L'attaque par phishing est une forme d'ingénierie sociale et une escroquerie où les attaquants trompent les gens pour qu'ils révèlent des informations sensibles ou en installant des logiciels malveillants tels que des virus ou des ransomwares.

Des enquêtes ont révélé que le phishing reste l'une des cybermenaces les plus importantes ayant un impact sur les organisations du monde entier. En début d'année 2024, un rapport de Fortra a montré que 81 % des professionnels de la sécurité estiment que le phishing est la principale menace, suivie par les logiciels malveillants et les ransomwares (76 %), et la perte accidentelle de données (63 %).

Face à ces menaces, le rapport partageait les cinq principales initiatives de cybersécurité que les responsables de la cybersécurité ont prévu : limiter les menaces extérieures telles que le phishing et les logiciels malveillants (74 %), trouver et combler les lacunes en matière de sécurité (73 %), améliorer la culture de la sécurité (66 %), sécuriser le cloud (63 %) et la conformité (62 %).

Un récent rapport de Slashnext décrit l'état de la sécurité face au phishing ainsi que les résultats de ces initiatives. Le rapport révèle que les attaques de vol d'informations d'identification ou attaque par phishing ont fait un bond spectaculaire au cours du second semestre 2024, augmentant de 703 %. Le rapport de SlashNext montre que dans l'ensemble, les menaces basées sur le courrier électronique ont augmenté de 202 % au cours de la même période, les utilisateurs individuels recevant au moins un lien d'hameçonnage avancé par semaine capable de contourner les contrôles de sécurité traditionnels du réseau.

SlashNext a analysé des milliards de menaces à travers les canaux de messagerie électronique et mobile? y compris la compromission des courriers électroniques professionnels (BEC), les liens malveillants, les pièces jointes, les codes QR et les attaques en langage naturel pilotées par l'IA. Le rapport offre un aperçu de l'évolution rapide du paysage du phishing et des vecteurs les plus exploités par les cybercriminels au cours de l'année écoulée.

"Au début de l'année 2024, nous avons assisté à un pic brutal des attaques, les adversaires ayant rapidement appris à intégrer l'IA dans leurs stratégies de phishing, ce qui a entraîné des volumes beaucoup plus importants de menaces avancées et efficaces", déclare Stephen Kowski, field CTO chez SlashNext. "Au second semestre, la croissance du volume d'attaques était plus graduelle, mais toujours persistante. Nous nous attendons à ce que cette trajectoire ascendante se poursuive jusqu'en 2025, d'autant plus que notre équipe de recherche sur les menaces découvre de nouveaux kits de phishing avancés disponibles gratuitement sur le Dark Web."

Parmi tous les liens malveillants intégrés observés, 80 % étaient des menaces zero-day inconnues jusqu'alors, ce qui souligne les limites des méthodes statiques de renseignement sur les menaces et de détection basées sur les signatures.

Pendant les périodes de pointe, les utilisateurs ont été confrontés à une moyenne de trois à six menaces par semaine et, chaque année, jusqu'à 600 menaces mobiles par utilisateur. Les attaques basées sur l'ingénierie sociale ont augmenté de 141 % au cours des six derniers mois, ce qui renforce la nécessité de mesures de sécurité adaptatives en temps réel.

La nature volatile des catégories de menaces, qui vont des nouveaux liens d'hameçonnage (phishing par lien) et des pièces jointes habilement déguisées aux escroqueries en langage naturel conçues par des experts, signifie que ce qui est efficace pour les attaquants peut changer presque toutes les semaines.

En avril, un rapport de Proofpoint a révélé l'évolution des techniques de phishing. En analysant 183 millions de simulations, ils ont constaté que pour le phishing par courriel, un destinataire sur six a cliqué sur la pièce jointe. Pour le phishing basé sur des liens, 11 % ont été couronnés de succès, tandis que le phishing par saisie de données n'a réussi que dans 3 % des cas.

Ces différents rapports confirment que malgré les mesures et les améliorations de la sécurité, le phishing reste une menace redoutable. Stephen Kowski de SlashNext a conclu : "Les mesures de sécurité traditionnelles sont dépassées par le volume et l'adaptabilité de ces menaces. Les entreprises ont besoin d'une stratégie de sécurité complète et proactive, soutenue par des technologies de détection et d'atténuation en temps réel, pour garder une longueur d'avance sur des attaquants de plus en plus agiles."

Source : "The 2024 Phishing Intelligence Report" (SlashNext)

Et vous ?

Pensez-vous que ce rapport de SlashNext est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les attaques de phishing augmentent de 61 % par rapport à l'année dernière, atteignant plus de 255 millions attaques en 6 mois, selon un rapport de SlashNext

Cybercriminalité : les sites de phishing imitant le service de la poste US rivalisent avec le site officiel en termes de trafic. Les cybercriminels générant même plus de trafic pendant les fêtes

Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023, découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés