Cybersécurité : les attaques de phishing coûtent en moyenne 14,8 millions de dollars par an

Par:
fredericmazue

jeu, 19/08/2021 - 12:59

Proofpoint et Ponemon Institute ont publié les résultats d'une nouvelle étude sur le coût des attaques de phishing. Le rapport révèle que le coût a presque quadruplé au cours des six dernières années, les grandes entreprises américaines perdant en moyenne 14,8 millions de dollars par an (soit 1 500 dollars par employé), un chiffre en forte hausse par rapport aux 3,8 millions de dollars enregistrés en 2015.

Selon l'étude, qui a interrogé près de 600 experts IT et de la sécurité informatique, les menaces les plus coûteuses pour les entreprises sont les attaques de type BEC et par rançongiciels. Mais les coûts pour les organisations vont bien au-delà des fonds transférés aux attaquants.

« Lorsqu'une organisation paye des millions pour résoudre une attaque par rançongiciels, la plupart des personnes supposent que la résolution du problème a coûté à l'entreprise la rançon uniquement. Or, nous avons constaté que la rançon seule représente moins de 20 % du coût d'une attaque par rançongiciel », déclare Larry Ponemon, président et fondateur du Ponemon Institute. « Comme les attaques de phishing augmentent la probabilité d'une violation des données et d'une perturbation de l'activité, la plupart des coûts encourus par les entreprises proviennent de la perte de productivité et de la remédiation du problème plutôt que de la rançon réelle versée aux attaquants. »

La compromission d’identifiants précède généralement les attaques de type BEC et par rançongiciels, généralement sous la forme d'un employé qui se fait piéger pour donner ses informations d'identification. Selon l'Anti-Phishing Working Group (APWG), le phishing est un crime qui fait appel à l'ingénierie sociale et à des subterfuges techniques pour voler des informations personnelles et des identifiants de comptes financiers. La croissance du phishing n'est pas progressive - elle est exponentielle, l'APWG estimant que les attaques de phishing ont doublé rien qu'en 2020.

Voici d'autres conclusions clés du rapport 2021 sur le coût du phishing :

  • La perte de productivité est l'un des résultats les plus coûteux des attaques de phishing. Dans une entreprise américaine de taille moyenne de 9 567 personnes, cela se traduit par 63 343 heures perdues chaque année. Chaque employé perd en moyenne sept heures par an à cause des escroqueries par phishing, soit une augmentation par rapport aux quatre heures de 2015.
  • Les attaques de compromission d’emails professionnels (BEC) coûtent près de 6 millions de dollars par an aux grandes entreprises. Sur ce montant, les paiements illicites versés chaque année aux attaquants de ce type d’attaque représentent 1,17 million de dollars.
  • Les rançongiciels coûtent 5,66 millions de dollars par an aux grandes entreprises. Sur ce montant, 790 000 dollars correspondent aux rançons payées.
  • La formation de sensibilisation à la sécurité réduit les dépenses liées au phishing de plus de 50 % en moyenne.
  • Les coûts de résolution des infections par logiciels malveillants ont plus que doublé depuis 2015. Le coût total moyen pour résoudre les attaques de logiciels malveillants s'élève à 807 506 dollars en 2021, soit une augmentation par rapport aux 338 098 dollars de 2015.
  • Les coûts liés à la compromission d’identifiants ont augmenté de façon spectaculaire depuis 2015. Par conséquent, les organisations dépensent davantage pour répondre à ces attaques. Le coût moyen pour contenir les compromissions d’identifiants basées sur le phishing est passé de 381 920 dollars en 2015 à 692 531 dollars en 2021. Les organisations ont subi en moyenne 5,3 compromissions sur une période de 12 mois.
  • Les chefs d'entreprise doivent prêter attention aux scénarios de pertes maximales probables. Par exemple, les attaques BEC pourraient entraîner des pertes pouvant atteindre 157 millions de dollars si les organisations ne sont pas préparées. Les logiciels malveillants entraînant l'exfiltration de données pourraient coûter aux entreprises jusqu'à 137 millions de dollars.

« Parce que les acteurs de la menace ciblent désormais les employés plutôt que les infrastructures, la compromission d’identifiants a explosé ces dernières années, laissant la porte grande ouverte à des attaques beaucoup plus dévastatrices comme les attaques de type BEC ou par rançongiciels », a déclaré Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité chez Proofpoint. « Tant que les organisations ne déploieront pas une approche de la cybersécurité centrée sur l'humain, comprenant une formation à la sensibilisation à la sécurité et une protection intégrée contre les menaces pour les arrêter et y remédier, les attaques de phishing se poursuivront. »

Télécharger le rapport Ponemon sur le coût des menaces phishing 2021