Près de la moitié des entreprises françaises ont déjà été victimes de plusieurs cyber-attaques, selon SoSafe

• Une entreprise sur cinq (21 %) admet même que ce fut le cas à plusieurs reprises, durant les trois dernières années
• Les entreprises françaises sont, en revanche, les moins susceptibles d’accepter de payer une rançon. Seules 30 % sont disposées à le faire, l’un des pourcentages le plus bas, en comparaison avec d’autres pays européens 
• La menace reste toutefois préoccupante pour 76 % des RSSI français qui se disent stressés par ce risque 

Paris, le 15 mai 2023 – Selon le dernier rapport annuel, « Human Risk Review » publié par SoSafe, leader en matière de sensibilisation à la cybersécurité, près de la moitié des entreprises en France (46 %) ont été victimes d’une cyberattaque au cours des trois dernières années, 21 % admettent même que ce fut le cas à plusieurs reprises. En revanche, seule une entreprise sur trois (30 %) se dit disposée à payer une rançon, un chiffre très bas en comparaison avec nos voisins européens : les Pays-Bas sont les plus susceptibles d’accepter de payer avec 46 % de ses entreprises concédant y avoir été contraintes, suivis par l’Allemagne (45 %), l’Autriche (43 %) et le Royaume-Uni (38 %).  

Ce rapport, basé sur un sondage réalisé auprès de plus de 1 000 Responsables de la Sécurité (RSSI) de six pays européens (France, Allemagne, Grande-Bretagne, Autriche, Pays-Bas et Suisse), sur des entretiens d’experts et utilisant plus de 8,4 millions de données issues de la plateforme de sensibilisation à la cybersécurité de SoSafe, vise à établir un état des lieux des cybermenaces actuelles et évaluer la culture d’entreprise en matière de cybersécurité pour y faire face.  

Des cyberattaques de plus en diversifiées, encouragées par le macro-environnement 

L’étude révèle que 76 % des RSSI français interrogés sont stressés par le risque de cyberattaques. La plupart d’entre eux considèrent que les dernières innovations en matière d’Intelligence Artificielle (83 %), la situation géopolitique actuelle (82 %), et le travail hybride (77 %) ne font qu’aggraver les risques de cybermenaces. Un répondant sur deux (49 %) considère même que la menace va empirer au cours des douze prochains mois.  

Les attaques par malware, en particulier, sont les plus dangereuses, selon 41 % des répondants français. Les actes de piratage contre les chaînes d’approvisionnement sont également considérés comme un risque important pour 81 % des RSSI. Ainsi, 18 % des organisations interrogées ont déjà été victimes de ce type d’attaque et 81 % reconnaissent que leur propre sécurité dépend des normes de sécurité de leurs partenaires.   

Les attaques par phishing restent une menace importante, renforcées par de nouvelles innovations en matière de manipulation émotionnelle    

Ces attaques sont la deuxième menace la plus importante pour la cybersécurité des entreprises françaises : 35 % d’entre elles admettent en avoir déjà été victime. Selon 71 % des RSSI français interrogés, les emails sont le moyen le plus utilisé par les cybercriminels pour tenter d’attaquer leurs organisations. Ainsi, pour 82 % d’entre eux, ce type d’attaque et la manipulation émotionnelle des employés constituent un risque.  

En outre, les données issues de la plateforme de sensibilisation SoSafe confirment que la menace est élevée : une personne sur trois (31 %) clique sur des pièces jointes ou des liens compromis lorsqu’elles sont ciblées par une attaque via phishing. Les emails malveillants qui ont comme objets « Voiture endommagée » ou « Invitation à l’équipe » sont les plus susceptibles d’inciter les destinataires à les ouvrir, cliquer ou même saisir des informations personnelles sur un autre site web. Par ailleurs, les employés semblent particulièrement sensibles aux tactiques d’ingénierie sociale qui déclenchent des émotions fortes, telles que la pression (24 %), l’autorité (28 %) ou les appels financiers (18 %).  

« La méthode des attaques par phishing reste la plus utilisée par les cybercriminels car elle est la plus performante sur le plan humain. Le fait que, selon nos données, une personne sur trois tombe dans le piège d’un email de phishing, peut s’expliquer par les possibilités illimitées de personnalisation de ce type d’email. Bien souvent, les destinataires n’y sont pas préparés. Les cybercriminels sont maintenant en mesure d’utiliser des informations personnelles pertinentes collectées sur les réseaux sociaux, de rebondir et d’instrumentaliser l’actualité afin de déclencher des émotions fortes ou encore d’utiliser l’IA pour imiter des images, des vidéos ou encore des voix. Pour les personnes malveillantes souhaitant mettre au point de nouvelles stratégies et mener à bien ce type d’attaques, cette créativité est désormais devenue la norme » précise le Dr Niklas Hellemann, PDG et fondateur de SoSafe.  

La sensibilisation à la cybersécurité est devenue un véritable enjeu prioritaire pour les entreprises  

Plus de deux tiers des RSSI en France (69 %) estiment qu’au sein de leurs équipes, le niveau de conscience face aux risques est élevé. De surcroit, 68 % estiment que les investissements dans ce domaine sur les dix-huit prochains mois vont augmenter. Le développement d’une culture de la cybersécurité est ainsi une priorité pour 94 % des entreprises, encouragé par le fait que les équipes dirigeantes y accordent une plus grande importance, selon 66 % des personnes interrogées.  

« Le fait que les entreprises sont de plus en plus conscientes de la nécessité d’investir dans la sensibilisation aux risques cyber, et que cette prise de conscience ait également atteint la direction de l’entreprise, représente une évolution positive. Toutefois, nos données comportementales actuelles démontrent qu’il reste encore beaucoup à faire : environ 31 % des personnes cliquent sur des emails de phishing, et 52 % d’entre elles divulguent même des données confidentielles. Ainsi, même si les employés comprennent mieux qu’avant l’importance de la cybersécurité, il reste encore du travail afin que les bons comportements perdurent sur le long terme. Il est donc nécessaire de renforcer l’autodéfense numérique des entreprises pour lutter contre la cybercriminalité. » ajoute Mr. Hellemann  

Pour plus d’informations, veuillez-vous référer au rapport, en anglais, « Human Risk Review 2023 ». La version française sera disponible à la mi-juin. 

-FIN- 

Méthodologie :   

L’étude Humain Risk Review est le résultat d’une enquête menée en février 2023 par SoSafe, en collaboration avec Censuswide, un institut international d’études de marché, auprès de plus de 1000 Responsables de la Sécurité (RSSI) de six pays européens (France, Allemagne, Grande-Bretagne, Autriche, Pays-Bas et Suisse). Afin d’étayer les résultats issus de cette enquête, plus de 8,4 millions d’attaques de phishing simulées en 2022, sur la plateforme de sensibilisation SoSafe, provenant de 3000 organisations clientes ont aussi été analysées anonymement et exclusivement pour ce rapport. En outre, les données du test annuel de phishing mené par SoSafe et Botfrei, font aussi partie de cette étude. En 2022, plus de 9 000 emails de phishing simulés, classés comme modérément graves, ont été envoyés à des destinataires inscrits sur la plateforme afin de tester leurs capacités à les reconnaître. Par la suite, neuf experts, dont Thomas Tschersich (CISO de Deutsche Telekom AG), Dr. Katrin Suder (Strategy Expert Digital Technologies, Economy & Politics), Tobias Ludwichowski (CISO Signal Iduna), Dr. Stefan Lüders (CSO CERN), Jens Becker (CIO Zurich Group Germany) et Thomas Schumacher (Managing Director Accenture Security DACH), ont échangé sur ces résultats.  

À propos de SoSafe  

SoSafe permet aux entreprises de développer une culture de la cybersécurité, et de limiter les risques, grâce à ses programmes de sensibilisation conformes au RGPD. Fondée en 2018 par le Dr. Niklas Hellemann, Lukas Schaefer et Felix Schuerholz, SoSafe offre aujourd’hui ses solutions à plus de 3000 clients à travers le monde et est le leader européen de la formation et de la sensibilisation à la sécurité en Europe. Avec sa plateforme s’appuyant sur une approche psychologique et d’ingénieux algorithmes, SoSafe propose des formations personnalisées et des simulations d’attaques grâce auxquelles chacun des collaborateurs peut devenir un acteur engagé et informé dans la lutte contre les cybermenaces. L’équipe de SoSafe compte désormais plus de 370 collaborateurs répartis sur cinq sites : Paris, Cologne (siège social), Amsterdam, Berlin, et Londres.  

Pour plus d’informations : https://sosafe-awareness.com/fr/