Discussion :

[Sandra Coret]

Le personnel travaillant dans le secteur informatique ou DevOps est plus susceptible de cliquer sur des courriels de phishing, 22 % des e-mails cliqués imitaient ceux envoyés par les RH

Le personnel travaillant dans le secteur informatique ou DevOps est plus susceptible de cliquer sur des courriels de phishing que celui des autres secteurs d'une organisation. Une nouvelle étude de F-Secure examine comment plus de 80 000 personnes de différentes organisations ont répondu à des e-mails simulant l'une des quatre tactiques de phishing les plus courantes.

Les résultats montrent que 22 % des destinataires qui ont reçu un e-mail simulant une annonce des ressources humaines sur les vacances ont cliqué, ce qui fait des e-mails imitant ceux envoyés par les RH la source la plus fréquente de clics dans l'étude. Un e-mail demandant au destinataire de participer au règlement d'une facture (appelé "fraude au PDG" dans le rapport) est le deuxième type d'e-mail le plus fréquent, avec 16 % de clics.

Les e-mails de partage de documents (notifications d'un service d'hébergement de documents) et de notification de problème de service (messages d'un service en ligne) ont été cliqués par 7 % et 6 % des destinataires, ce qui en fait les e-mails les moins cliqués de l'étude.

Le résultat le plus intéressant est sans doute que dans deux organisations étudiées dont le personnel travaille dans les services informatiques ou DevOps, les employés ont cliqué sur les e-mails de test à des taux égaux ou supérieurs à ceux des autres départements de leur organisation. 26 % pour le département DevOps et 24 % pour le département informatique, contre 25 % pour l'ensemble de l'organisation, et 30 % pour le département DevOps et 21 % pour le département informatique, contre 11 % pour l'autre organisation.

Ces équipes ne sont pas plus performantes pour signaler le phishing. Dans une organisation, l'informatique et le DevOps sont arrivés en troisième et sixième position sur neuf départements en termes de signalement. Dans l'autre organisation, DevOps était le douzième meilleur en termes de signalement sur dix-sept départements, tandis que l'informatique était quinzième.

"L'accès privilégié que le personnel technique a à l'infrastructure d'une organisation peut le conduire à être activement ciblé par des adversaires, de sorte qu'une susceptibilité avancée ou même moyenne au phishing est une préoccupation", explique Matthew Connor, responsable de la prestation de services chez F-Secure. "Les enquêtes menées après l'étude ont révélé que ces personnels étaient plus conscients que les autres des tentatives de phishing précédentes, nous savons donc qu'il s'agit d'une menace réelle. Le fait qu'ils cliquent aussi souvent, voire plus souvent, que les autres, malgré leur niveau de sensibilisation, souligne un défi important dans la lutte contre le phishing."

Source : F-Secure

Et vous ?

Trouvez-vous ce rapport pertinent ?
Qu'en est-il au sein de votre organisation ? le secteur informatique est-il plus susceptible de cliquer sur des emails de phishing que les autres secteurs ?
A votre avis, pourquoi le secteur informatique est plus enclin à se laisser prendre au piège ?

Voir aussi :

Les développeurs de logiciels sont des cibles de choix pour les attaques d'hameçonnage, selon un rapport de Glasswall

22 % des employés sont susceptibles d'exposer leur entreprise à un risque de cyberattaque par le biais d'une tentative de hameçonnage réussi, selon Phished

Cybersécurité : 200 791 collaborateurs testés par des simulations de phishing Mailinblack en 2021, 12 410 ont cliqué sur le lien dans l'email et 8 222 ont donné des informations personnelles sensibles

Les entreprises sont en train de perdre la lutte contre le phishing, 85 % d'entre elles affirmant que les tentatives d'attaques sont de plus en plus sophistiquées, d'après Ivanti

[totozor]

Le résultat le plus intéressant est sans doute que dans deux organisations étudiées dont le personnel travaille dans les services informatiques ou DevOps, les employés ont cliqué sur les e-mails de test à des taux égaux ou supérieurs à ceux des autres départements de leur organisation. 26 % pour le département DevOps et 24 % pour le département informatique, contre 25 % pour l'ensemble de l'organisation, et 30 % pour le département DevOps et 21 % pour le département informatique, contre 11 % pour l'autre organisation.

Une partie de la conclusion est faite sur une partie réduite de l'enquête.

Et vous ?
Trouvez-vous ce rapport pertinent ?
Qu'en est-il au sein de votre organisation ? le secteur informatique est-il plus susceptible de cliquer sur des emails de phishing que les autres secteurs ?
A votre avis, pourquoi le secteur informatique est plus enclin à se laisser prendre au piège ?

Toutes les demandes faites à l'informatique doivent passer par une demande de travail avec un format précis, il parait donc très peu probable qu'ils réalisent des actions demandés par un mail frauduleux.
Par contre ils reçoivent peu de mails donc ils intègrent peut être moins intuitivement les "codes" des emails internes et un email "vos RH vous offre des vacances aux bahamas" sont peut être vu avec un regard moins critique.

Lors des dernières campagnes de préventions dans ma société la première chose qui m'a mis la puce à l'oreille est que les mails ne ressemblaient pas aux mails internes que je reçoit habituellement avant même de lire le contenu.
Nous avons les statistiques globales mais pas de répartitions donc je ne sais pas si l'informatique est plus touchée que les autres secteurs chez nous.

[TotoParis]

L'âge est-il un facteur aggravant ? Le jeune âge je veux dire.
L'addictions aux drogues et à l'alcool est-il un facteur de vulnérabilité ?