Les entreprises ne sont pas dans les VAPs

Si l’impact économique des cyberattaques reste toujours difficile à chiffrer précisément, le FBI estime que les pertes dues à la fraude par e-mail ont atteint 26 milliards de dollars (de juin 2016 à juillet 2019) à l'échelle mondiale. Selon une étude de Proofpoint,les attaques par e-mail auraient touché plus de 90 % des organisations dans le monde depuis le début de cette année.

« La vision des entreprises doit évoluer : la question de « qui est attaqué » devient essentielle, le reste n’est qu’une affaire de moyens techniques, d’organisation et de gouvernance. Ainsi, les VAP (Very Attacked People) « sont un sujet de Comex, surtout celles qui ne sont pas a priori considérées comme telles », assure Loïc Guézo, directeur cyberstratégie de Proofpoint. Selon l’éditeur, 36 % des identités de VAPs peuvent être trouvées en ligne, sur le site web de l’entreprise, les réseaux sociaux, dans des articles, etc. De même, 23% des identités de VIPs qui sont aussi des VAPs peuvent être trouvées avec une simple recherche Google.

Une fois ces VAPs identifiés, l’un des vecteurs privilégiés d’attaque reste l’e-mail : « Environ seulement 8 % des investissements en sécurité sont consacrés à la protection des messageries, alors que 96 % des attaques utilisent ce canal », assure Loïc Guézo pour qui ce phénomène est logique : « Dans la mesure où les infrastructures sont de mieux en mieux sécurisées, les hackers s’adaptent et privilégient les messageries, qui constituent de véritables autoroutes d’accès. » Résultat : « l’humain est à la fois la première ligne d’attaque mais aussi la dernière ligne de défense. » Selon une étude de Proofpoint, 99 % des cyberattaques nécessitent une action humaine pour s’exécuter, par exemple pour activer une macro, ouvrir une pièce-jointe, cliquer sur un lien… « Près d’un e-mail de phishing sur 4 envoyés en 2018 était associé à un produit Microsoft. En 2019, la menace a évolué vers le stockage cloud, DocuSign et le cloud de Microsoft. Les leurres de phishing visaient principalement à voler des identifiants ou créer des boucles de rétroaction pouvant générer de futures attaques », souligne l’étude.   

L’un des enjeux de sécurisation concerne la possibilité d’envoyer des e-mails avec des noms de domaine usurpés. La protection contre ce type de vulnérabilités existe, avec le standard DMARC (Domain-based Message Authentication, Reporting & Conformance). « Il est quand même étonnant que des hackers puissent envoyer des e-mails au nom d’une société ou d’une marque ! » déplore Loïc Guézo. Rappelons que le standard DMARC est l’équivalent d’un contrôle de passeport dans le monde de la sécurité des e-mails. Il vérifie que l’expéditeur est bien celui qu’il prétend être, en authentifiant correctement les expéditeurs par rapport aux cadres DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework) établis. « Cette authentification protège employés, clients et partenaires, contre les cybercriminels qui cherchent à usurper l’identité d’une marque de confiance », résume Loïc Guézo.

Afin d’évaluer l’adoption du standard DMARC en France, Proofpoint a réalisé en septembre 2019 une analyse des enregistrements DMARC des domaines Internet des entreprises du CAC 40 ainsi que des principaux ministères et services publics français. L’objectif était d’évaluer combien de ces organisations françaises sont déjà en bonne voie pour se protéger efficacement contre la fraude e-mail, via l’adoption du protocole, tel que recommandé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Cette étude révèle que Seulement 45 % des sociétés du CAC 40 publient un enregistrement DMARC, soit 18 sociétés sur 40.

Pour ces entreprises qui ont adopté le standard DMARC, une seule bloque de façon proactive les emails frauduleux (et est donc entièrement conforme DMARC) et deux mettent en quarantaine les messages. « Plus de 55 % des plus grandes organisations françaises restent complètement exposées à la fraude par e-mail et à l’usurpation d’identité », déplore Loïc Guézo. Côté secteur public, seulement trois ministères protègent leur domaine institutionnel contre les attaques d'usurpation d'identité, le Ministère de la Cohésion des territoires et des Relations avec les collectivités territoriales étant le seul à avoir déployé le protocole DMARC. Pire, sur les 5 principales organisations de service public analysées par Proofpoint (Service Public, Impôts, Collectivités Locales, Fonction publique et Préfecture de Police), une seule est protégée contre les attaques d'usurpation d'identité de domaine : les Impôts.

Toutefois, en comparant ces résultats avec nos voisins, on remarque que malgré ces lacunes à combler, les grandes entreprises françaises sont pourtant les « mieux » préparées au risque de fraude par email et d’usurpation d’identité (rappel : 45% des entreprises du CAC40 ayant un enregistrement DMARC).

La seconde marche du podium est occupée par la Suède (43% des organisations de l’OMX30 ont un enregistrement DMARC) et la troisième par le Royaume-Uni (42% des entreprises du FTE100 adoptent le standard). En queue de peloton, on retrouve l’Italie (avec seulement 28% des entreprises du FTSE MIB40 ayant un enregistrement DMARC), précédée de l’Espagne (avec 32% des entreprises de l’IBEX35 protégées) et de l’Allemagne (avec 33% des entreprises du DAX30 protégées).