Phishing, spear phishing, FOVI, smishing (par SMS), les méthodes des cybercriminels pour piéger les salariés d’une entreprise sont nombreux. Si l’erreur humaine est un facteur à prendre en compte dans sa gestion de risque, l’analyse des motivations des salariés dupés et l’impact de leurs erreurs a été scruté par les équipes de Tessian, avec le soutien de l’Université de Stanford. Le spécialiste de la sécurité des emails a mené une étude auprès de 2 000 salariés (aux US et au Royaume-Uni) avec des âges variés. Il s’agit de la seconde édition après une première version en 2020.
Le chiffre le plus symptomatique est qu’un salarié sur quatre a perdu son emploi au cours des 12 derniers mois après avoir commis une erreur qui a compromis la sécurité de son entreprise. La sanction est donc clairement une épée de Damoclès sur les collaborateurs et un mauvais clic peut constituer une faute grave. On ne s’étonnera donc pas que près d'un collaborateur sur quatre (21%) ne signale pas les incidents de sécurité, contre 16% en 2020. Autres chiffres importants, 40% des employés ont envoyé un e-mail à la mauvaise personne, et près d'un tiers (29 %) ont déclaré que leur entreprise avait perdu un client à cause de cette erreur.
La bascule en travail hybride mise en cause
L’étude s’est penchée sur les raisons de ces erreurs. On découvre ainsi que 50% des sondés ont déclaré avoir envoyé des e-mails à la mauvaise personne parce qu'ils étaient sous pression pour envoyer l'e-mail rapidement. Ils étaient seulement 34% dans la même étude en 2020. Plus de 40% des répondants ont cité la distraction et la fatigue comme raisons conduisant à tomber dans des attaques de phishing. La pandémie est passée par là et le passage au travail hybride est pointé du doigt. Selon le professeur de l’Université de Stanford, Jeff Hancock, qui a contribué au rapport : « Avec la bascule au travail hybride, les gens doivent faire face à davantage de distractions, à des changements fréquents d'environnements de travail et au problème très réel de la fatigue sur Zoom - ce à quoi ils n'étaient pas confrontés il y a deux ans ». Il ajoute que « quand les gens sont distraits et fatigués, les charges cognitives des personnes sont dépassées et c’est là que les erreurs se produisent ».
Une pression et une fatigue qui expliquent que plus de la moitié des répondants (52%) ont déclaré être tombés dans un courriel de phishing où l’attaquant s'est fait passer pour un cadre supérieur de l'entreprise - contre 41 % déclarés en 2020. En comparaison, les taux de clics sur les e-mails de phishing dans lesquels les cybercriminels se font passer pour des marques connues ont chuté. Les salariés sont également sensibles aux attaques de phishing par SMS (smishing), un tiers des personnes interrogées ayant été dupées par une demande de smishing au cours des 12 derniers mois. L’étude constate que sur ce vecteur les personnes de plus de 55 ans sont les plus vulnérables.