Les coûts moyens du phishing ont quadruplé depuis 2015 et s’élèvent à 14,8 millions de dollars par an, la compromission des emails professionnels et les rançongiciels sont les plus coûteux, selon Proofpoint

Proofpoint, spécialiste en cybersécurité et en conformité, et Ponemon Institute, organisme de recherche en sécurité informatique, ont publié les résultats d'une nouvelle étude sur le coût des attaques de phishing. Le rapport révèle que le coût a presque quadruplé au cours des six dernières années, les grandes entreprises américaines perdant en moyenne 14,8 millions de dollars par an (soit 1 500 dollars par employé), un chiffre en forte hausse par rapport aux 3,8 millions de dollars enregistrés en 2015.

Selon l'étude, qui a interrogé près de 600 experts IT et de la sécurité informatique, les menaces les plus coûteuses pour les entreprises sont les attaques de type BEC et par rançongiciels. Mais les coûts pour les organisations vont bien au-delà des fonds transférés aux attaquants.

Larry Ponemon, président et fondateur du Ponemon Institute, déclare : « Lorsqu'une organisation paye des millions pour résoudre une attaque par rançongiciels, la plupart des personnes supposent que la résolution du problème a coûté à l'entreprise la rançon uniquement. Or, nous avons constaté que la rançon seule représente moins de 20 % du coût d'une attaque par rançongiciel. Comme les attaques de phishing augmentent la probabilité d'une violation des données et d'une perturbation de l'activité, la plupart des coûts encourus par les entreprises proviennent de la perte de productivité et de la remédiation du problème plutôt que de la rançon réelle versée aux attaquants. »

La compromission d’identifiants précède généralement les attaques de type BEC et par rançongiciels, généralement sous la forme d'un employé qui se fait piéger pour donner ses informations d'identification. Selon l'Anti-Phishing Working Group (APWG), le phishing est un crime qui fait appel à l'ingénierie sociale et à des subterfuges techniques pour voler des informations personnelles et des identifiants de comptes financiers. La croissance du phishing n'est pas progressive - elle est exponentielle, l'APWG estimant que les attaques de phishing ont doublé rien qu'en 2020.

Voici d'autres conclusions clefs du rapport 2021 sur le coût du phishing :

  • la perte de productivité est l'un des résultats les plus coûteux des attaques de phishing. Dans une entreprise américaine de taille moyenne de 9 567 personnes, cela se traduit par 63 343 heures perdues chaque année. Chaque employé perd en moyenne sept heures par an à cause des escroqueries par phishing, soit une augmentation par rapport aux quatre heures de 2015.

  • les attaques de compromission d’emails professionnels (BEC) coûtent près de 6 millions de dollars par an aux grandes entreprises. Sur ce montant, les paiements illicites versés chaque année aux attaquants de ce type d’attaque représentent 1,17 million de dollars.

  • les rançongiciels coûtent 5,66 millions de dollars par an aux grandes entreprises. Sur ce montant, 790 000 dollars correspondent aux rançons payées.

  • la formation de sensibilisation à la sécurité réduit les dépenses liées au phishing de plus de 50 % en moyenne.

  • les coûts de résolution des infections par logiciels malveillants ont plus que doublé depuis 2015. Le coût total moyen pour résoudre les attaques de logiciels malveillants s'élève à 807 506 dollars en 2021, soit une augmentation par rapport aux 338 098 dollars de 2015.

  • les coûts liés à la compromission d’identifiants ont augmenté de façon spectaculaire depuis 2015. Par conséquent, les organisations dépensent davantage pour répondre à ces attaques. Le coût moyen pour contenir les compromissions d’identifiants basées sur le phishing est passé de 381 920 dollars en 2015 à 692 531 dollars en 2021. Les organisations ont subi en moyenne 5,3 compromissions sur une période de 12 mois.

  • les chefs d'entreprise doivent prêter attention aux scénarios de pertes maximales probables. Par exemple, les attaques BEC pourraient entraîner des pertes pouvant atteindre 157 millions de dollars si les organisations ne sont pas préparées. Les logiciels malveillants entraînant l'exfiltration de données pourraient coûter aux entreprises jusqu'à 137 millions de dollars.


Nom : ProofPoint-logo.png
Affichages : 1519
Taille : 9,1 Ko
Nom : ponemon.png
Affichages : 1036
Taille : 4,4 Ko

Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité chez Proofpoint, déclare : « Parce que les acteurs de la menace ciblent désormais les employés plutôt que les infrastructures, la compromission d’identifiants a explosé ces dernières années, laissant la porte grande ouverte à des attaques beaucoup plus dévastatrices comme les attaques de type BEC ou par rançongiciels. Tant que les organisations ne déploieront pas une approche de la cybersécurité centrée sur l'humain, comprenant une formation à la sensibilisation à la sécurité et une protection intégrée contre les menaces pour les arrêter et y remédier, les attaques de phishing se poursuivront. »

À propos de Proofpoint, Inc.

Proofpoint est une entreprise spécialisée dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques.

Source : Proofpoint

Et vous ?

Trouvez-vous ce rapport pertinent ?
Votre organisation met-elle l'accent sur la sensibilisation et la formation à la sécurité du personnel pour lutter contre les cyberattaques ?

Voir aussi :

Les entreprises sont en train de perdre la lutte contre le phishing, 85 % d'entre elles affirmant que les tentatives d'attaques sont de plus en plus sophistiquées, d'après Ivanti

Sans formation de sensibilisation à la sécurité, un utilisateur sur trois risque de tomber dans le piège du phishing, et mettre son entreprise en danger, selon une nouvelle étude de KnowBe4

Les formations de sensibilisation à la sécurité et les simulations de phishing auraient peu d'effet sur la réduction des erreurs humaines, selon la Cyentia Institute