Découlant de l’instauration massive du télétravail, l’année 2021 a été marquée par une transformation numérique généralisée, une amélioration de la productivité dans de nombreux secteurs et régions du monde, mais aussi par l’apparition de nouvelles normes culturelles et pratiques technologiques. Des pratiques technologiques qui rendent de plus en plus complexe la prévention des cybermenaces et ont impacté un nombre record d’organisations.
Alors que les cybermenaces tout comme les tendances en cybersécurité évoluent, les efforts de sensibilisation doivent être adaptés à ces changements. Ces mises à jour permettront de s’assurer que les employés sont conscients des signaux d’alarme actuels indiquant que leurs informations peuvent avoir été compromises et de la manière d’éviter les cyberattaques s’ils deviennent une cible.
Voici donc un récapitulatif des principales tendances en matière de sensibilisation à la cybersécurité que tous les CISO et responsable de la sécurité devrait surveiller en 2022 :
1. Les rançongiciels et les logiciels malveillants occuperont le devant de la scène
En 2021, aucune catégorie de cybermenaces n’a connu une ascension aussi fulgurante que celle des rançongiciels. Selon le Réseau de lutte contre la criminalité financière du Trésor américain (U.S. Treasury’s Financial Crimes Enforcement Network), près de 2,2 millions de dollars ont été remis chaque jour aux cybercriminels dans le cadre de transactions liées aux rançongiciels. Et ce chiffre ne devrait pas diminuer au cours de cette décennie, les attaques par rançongiciel connaissant une augmentation sans précédent.
Ces statistiques prouvent que les protections technologiques seules ne peuvent empêcher les rançongiciels et les attaques de logiciels malveillants de compromettre les données sensibles d’une organisation. C’est pourquoi dans les années à venir, les formations en sensibilisation à la sécurité devront prioriser du contenu éducatif et des simulations d’hameçonnage issues d’exemples du monde réel.
2. Les attaques de logiciels malveillants sur appareils mobiles viseront davantage de personnes
Une des conséquences de l’évolution mondiale vers le travail à distance ou le mode hybride a été une augmentation du nombre d’attaques de logiciels malveillants sur des appareils mobiles plutôt que sur des ordinateurs de bureau ou des ordinateurs portables. Un spécialiste en cybersécurité chez McAfee souligne notamment dans une étude que le nombre d’applications malveillantes sur mobiles a augmentée de 118 % sur la deuxième moitié de l’année 2020.
L’utilisation de téléphones intelligents et de tablettes a également considérablement augmenté depuis le début de l’année 2020 contribuant à l’explosion de l’utilisation de portefeuilles mobiles ou encore à l’omniprésence des codes QR (le nombre d’utilisateurs européens de smartphones scannant des QR codes a augmenté de 96 % en un an). Une raison supplémentaire, pour encourager ses employés à redoubler de vigilance et à se référer à des contenus de formations en sensibilisation à la sécurité qui inclut des conseils sur les escroqueries sur appareil mobile.
3. Les cryptomonnaies joueront un rôle encore plus important dans les cyberattaques
En 2021, les rançongiciels ont été largement utilisés par les cybercriminels afin d’extraire des fonds auprès des organisations victimes faisant du même coup monté en flèche les paiements en cryptomonnaies. Les exploitants du Colonial Pipeline en sont sans doute l’exemple le plus marquant avec le paiement d’une rançon en cryptomonnaies de 4,4 millions de dollars dont seule une partie du montant total a été récupérée par la suite par le ministère de la Justice.
Les cryptomonnaies sont de plus en plus souvent synonymes de cyberattaques. D’ailleurs, de nouveaux types d’attaques, comme ce logiciel malveillant Discord, ont directement ciblé les amateurs de crypto et de NFT en utilisant un payload sophistiqué contournant l’architecture traditionnelle des antivirus. La solution ? S’assurer que tous les utilisateurs comprennent les signes avant-coureurs d’une attaque par un logiciel malveillant, ainsi que ce qu’ils doivent faire lorsqu’ils sont confrontés à un message ou un lien potentiellement malveillant les dirigeant vers un fichier suspect.
4. Les attaques par hameçonnage et l’ingénierie sociale vont se sophistiquer davantage
Autrefois plus facilement identifiables notamment en raison des fautes d’orthographe et de grammaire, les courriels d’hameçonnage se complexifient rendant leur détection plus difficile y compris pour ceux connaissant bien les méthodes employées par les pirates. Les messages s’appuient toujours sur des techniques bien connues d’hameçonnage et d’ingénierie sociale pour inciter les victimes à compromettre des informations sensibles.
Toutefois, de nombreux messages d’hameçonnage semblent désormais diriger les destinataires vers des liens marqués « HTTPS », ce qui engendre un faux sentiment de confiance. Les considérations relatives à l’usurpation d’identité, comme les logos de marques connues et l’image de marque, peuvent rendre les signaux d’alarme plus difficiles à repérer. La preuve en est, en partie, dans les résultats du Gone Phishing Tournament 2021, où un utilisateur participant sur cinq a cliqué sur le lien du courriel d’hameçonnage.
Dans ce contexte, il est primordial que votre programme de formation en sensibilisation à la sécurité inclue des simulations d’hameçonnage reflétant des exemples d’attaques réelles via des courriels et des pages web que vos employés peuvent rencontrer quotidiennement. Autrement, ils risquent d’être incapable de faire la différence entre un contenu sûr et un contenu dangereux.
5. Les violations de données coûteront encore plus cher aux organisations
Autre enjeu qui lie cybersécurité et croissance à long terme de l’entreprise : le coût d’une brèche de données. Bien que ce montant varie en fonction du secteur d’activité, de la taille ou encore de la zone géographique d’exploitation de l’entreprise, une constante demeure soit que le coût d’une violation de données a considérablement augmenté au cours de la dernière année.
CNA Financial Corp, l’une des plus grandes compagnies d’assurance des États-Unis, a versé 40 millions de dollars à des cybercriminels à la suite d’une attaque par rançongiciel qui a pris le contrôle de son réseau. Bien que la compagnie ait prétendument respecté « toutes les lois, tous les règlements et toutes les directives publiées », cette somme a été présentée par les experts comme un montant sans précédent. Il y a fort à parier que les cybercriminels utiliseront à l’avenir ce montant comme étalon pour réclamer des rançons en 2022.
La bonne nouvelle ? La formation en sensibilisation à la sécurité peut faire la différence
La sensibilisation à la cybersécurité revêt donc une importance cruciale pour la protection des informations sensibles notamment dans un contexte de transformation numérique qui s’accélère continuellement. En effet, un solide programme de formation en sensibilisation à la sécurité, axé sur l’amélioration des comportements des utilisateurs, peut faire la différence pour votre organisation.
En communiquant clairement leurs importances aux dirigeants et aux utilisateurs, ces formations aboutissent à un taux d’engagement et de complétion élevé. L’utilisation d’un contenu de haute qualité accompagné d’exercices pratiques, tels que des simulations d’hameçonnage ou des modules d’apprentissage immersifs et ludiques, contribue également à protéger les données sensibles de votre organisation dans les prochaines années.
Pour plus d’informations sur la façon dont Terranova Security peut s’associer à vous pour créer une solution de formation en sensibilisation à la sécurité répondant aux besoins de votre organisation, programmez une démonstration personnalisée dès aujourd’hui !
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Snscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.