Le management du digital
Rechercher

Les entreprises ne sont pas dans les VAPs

Si l’impact économique des cyberattaques reste toujours difficile à chiffrer précisément, le FBI estime que les pertes dues à la fraude par e-mail ont atteint 26 milliards de dollars (de juin 2016 à juillet 2019) à l'échelle mondiale. Selon une étude de Proofpoint,les attaques par e-mail auraient touché plus de 90 % des organisations dans le monde depuis le début de cette année.

« La vision des entreprises doit évoluer : la question de « qui est attaqué » devient essentielle, le reste n’est qu’une affaire de moyens techniques, d’organisation et de gouvernance. Ainsi, les VAP (Very Attacked People) « sont un sujet de Comex, surtout celles qui ne sont pas a priori considérées comme telles », assure Loïc Guézo, directeur cyberstratégie de Proofpoint. Selon l’éditeur, 36 % des identités de VAPs peuvent être trouvées en ligne, sur le site web de l’entreprise, les réseaux sociaux, dans des articles, etc. De même, 23% des identités de VIPs qui sont aussi des VAPs peuvent être trouvées avec une simple recherche Google.

Une fois ces VAPs identifiés, l’un des vecteurs privilégiés d’attaque reste l’e-mail : « Environ seulement 8 % des investissements en sécurité sont consacrés à la protection des messageries, alors que 96 % des attaques utilisent ce canal », assure Loïc Guézo pour qui ce phénomène est logique : « Dans la mesure où les infrastructures sont de mieux en mieux sécurisées, les hackers s’adaptent et privilégient les messageries, qui constituent de véritables autoroutes d’accès. » Résultat : « l’humain est à la fois la première ligne d’attaque mais aussi la dernière ligne de défense. » Selon une étude de Proofpoint, 99 % des cyberattaques nécessitent une action humaine pour s’exécuter, par exemple pour activer une macro, ouvrir une pièce-jointe, cliquer sur un lien… « Près d’un e-mail de phishing sur 4 envoyés en 2018 était associé à un produit Microsoft. En 2019, la menace a évolué vers le stockage cloud, DocuSign et le cloud de Microsoft. Les leurres de phishing visaient principalement à voler des identifiants ou créer des boucles de rétroaction pouvant générer de futures attaques », souligne l’étude.   

L’un des enjeux de sécurisation concerne la possibilité d’envoyer des e-mails avec des noms de domaine usurpés. La protection contre ce type de vulnérabilités existe, avec le standard DMARC (Domain-based Message Authentication, Reporting & Conformance). « Il est quand même étonnant que des hackers puissent envoyer des e-mails au nom d’une société ou d’une marque ! » déplore Loïc Guézo. Rappelons que le standard DMARC est l’équivalent d’un contrôle de passeport dans le monde de la sécurité des e-mails. Il vérifie que l’expéditeur est bien celui qu’il prétend être, en authentifiant correctement les expéditeurs par rapport aux cadres DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework) établis. « Cette authentification protège employés, clients et partenaires, contre les cybercriminels qui cherchent à usurper l’identité d’une marque de confiance », résume Loïc Guézo.

Afin d’évaluer l’adoption du standard DMARC en France, Proofpoint a réalisé en septembre 2019 une analyse des enregistrements DMARC des domaines Internet des entreprises du CAC 40 ainsi que des principaux ministères et services publics français. L’objectif était d’évaluer combien de ces organisations françaises sont déjà en bonne voie pour se protéger efficacement contre la fraude e-mail, via l’adoption du protocole, tel que recommandé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Cette étude révèle que Seulement 45 % des sociétés du CAC 40 publient un enregistrement DMARC, soit 18 sociétés sur 40.

Pour ces entreprises qui ont adopté le standard DMARC, une seule bloque de façon proactive les emails frauduleux (et est donc entièrement conforme DMARC) et deux mettent en quarantaine les messages. « Plus de 55 % des plus grandes organisations françaises restent complètement exposées à la fraude par e-mail et à l’usurpation d’identité », déplore Loïc Guézo. Côté secteur public, seulement trois ministères protègent leur domaine institutionnel contre les attaques d'usurpation d'identité, le Ministère de la Cohésion des territoires et des Relations avec les collectivités territoriales étant le seul à avoir déployé le protocole DMARC. Pire, sur les 5 principales organisations de service public analysées par Proofpoint (Service Public, Impôts, Collectivités Locales, Fonction publique et Préfecture de Police), une seule est protégée contre les attaques d'usurpation d'identité de domaine : les Impôts.

Toutefois, en comparant ces résultats avec nos voisins, on remarque que malgré ces lacunes à combler, les grandes entreprises françaises sont pourtant les « mieux » préparées au risque de fraude par email et d’usurpation d’identité (rappel : 45% des entreprises du CAC40 ayant un enregistrement DMARC).

La seconde marche du podium est occupée par la Suède (43% des organisations de l’OMX30 ont un enregistrement DMARC) et la troisième par le Royaume-Uni (42% des entreprises du FTE100 adoptent le standard). En queue de peloton, on retrouve l’Italie (avec seulement 28% des entreprises du FTSE MIB40 ayant un enregistrement DMARC), précédée de l’Espagne (avec 32% des entreprises de l’IBEX35 protégées) et de l’Allemagne (avec 33% des entreprises du DAX30 protégées).

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Philippe Rosé

Philippe Rosé

Docteur en sciences économiques et auteur d’une vingtaine d’ouvrages sur le management des systèmes d’information, Philippe Rosé est rédacteur en chef des publications Best Practices.

Nos Ouvrages

  • Benchmark Digital&Business - 
numéro 115

    Symposium Gartner 2019 - Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2019, qui s’est tenu en novembre à Barcelone.

  • Benchmark Digital&Business - 
numéro 114

    Symposium Gartner 2019 - Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2019, qui s’est tenu en novembre à Barcelone.

  • ERP - 145 réponses aux questions de votre direction générale

    Les ERP constituent encore la colonne vertébrale des systèmes d’information dans la plupart des moyennes et grandes entreprises. Malgré leur degré de maturité technologique, leurs performances métiers et la puissance des écosystèmes, les ERP suscitent encore de nombreuses questions de la part des DSI, qui ne trouvent pas toujours aisément de réponses.

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris