Rapport 2024 : Comment le phishing a redéfini les cybermenaces ?

Selon le dernier rapport de l’APWG (Anti-Phishing Working Group) pour le troisième trimestre 2024, le phishing et le spear-phishing continuent de représenter une menace majeure pour les organisations, avec une augmentation notable des attaques et une diversification des méthodes employées par les cybercriminels. 

L’essor des attaques de phishing personnalisées grâce à l’IA

Les données récentes révèlent une hausse marquée des attaques de phishing, qui sont passées de 877 536 incidents au deuxième trimestre à 932 923 au troisième trimestre 2024. Cette augmentation constante met en lumière l’urgence pour les organisations, notamment les PME et ETI, de renforcer leurs défenses contre ces menaces croissantes.

Pourquoi les PME et ETI sont les plus vulnérables ?

Les cybercriminels exploitent les faiblesses des infrastructures de sécurité des entreprises, en particulier celles des PME et ETI, souvent perçues comme moins bien protégées. Parmi les attaques recensées :

• 73 % ciblent des systèmes Windows, généralement insuffisamment sécurisés.
• 64 % des ransomwares impliquent une exfiltration de données, compromettant à la fois la continuité des activités et la réputation des entreprises.

Ces statistiques soulignent l’importance d’investir dans des solutions de cybersécurité performantes, capables de protéger les systèmes critiques et d’assurer la résilience des organisations face à ces menaces.

Des cyberattaques de plus en plus personnalisées

En 2024, les cyberattaques ont gagné en sophistication grâce à l’utilisation de données précises et contextualisées. Les courriels frauduleux intègrent désormais des éléments personnalisés, tels que des images issues de Google Street View montrant les adresses des victimes, leurs postes, et même leurs lignes professionnelles. Ces détails accroissent considérablement le taux de succès des tentatives de fraude et d’extorsion.

En effet, les méthodes de phishing évoluent également pour contourner les protections traditionnelles, comme les filtres anti-phishing. On observe :

• Une hausse de 22 % du smishing (phishing par SMS).
• Une augmentation de 28 % du vishing (phishing par appel vocal).

Ces techniques permettent aux cybercriminels d’établir un contact direct avec leurs victimes, rendant leurs attaques plus difficiles à détecter. Toutefois, plus de 83,1 % des attaques passent encore par des comptes professionnels pour usurper l’identité de collaborateurs ou de partenaires de confiance. Ces stratégies visent à tromper les employés pour obtenir des informations sensibles des organisations ou effectuer des transferts financiers frauduleux.

Quels enjeux et évolutions pour le phishing en 2025 ?

Une nouvelle année, de nouveaux défis… et malheureusement, de nouvelles cybermenaces.

En s’appuyant sur l’intelligence artificielle et en nouvelles technologies de deppfakes, les cyberpirates ne cesseront d’innover pour rendre leurs attaques toujours plus vraies et complexes à détecter. En plus des PME et ETI, les infrastructures critiques, comme les organisations du secteur de la santé (hôpitaux, cliniques, cabinets spécialisés) ou de l’énergie, sont des cibles privilégiées en raison de leur dépendance accrue aux technologies numériques.

• Les attaques par Business Email Compromise (BEC) deviendront encore plus sophistiquées, avec une augmentation de l’utilisation des canaux multiples (email, SMS, réseaux sociaux) pour tromper les victimes et renforcer l’illusion de légitimité.
• Le phishing, le spear-phishing et l’ingénierie sociale, deviennent de plus en plus personnalisés et se basent fréquemment sur des recherches plus approfondies sur les victimes potentielles, augmentant leur taux de succès (8,4 utilisateurs sur 1 000 ont cliqué sur un lien d’hameçonnage chaque mois au cours de l’année 2024).
• L’adoption de la vente des données tirées des attaques de phishing sur le darkweb s’accroît, permettant à des criminels moins expérimentés d’accéder eux aussi à des outils plus sophistiqués.
• Les gouvernements et les organisations internationales prévoient d’introduire de nouvelles législations (NIS2, DORA) pour lutter contre le phishing, tandis que les fournisseurs de sécurité travailleront à intégrer des solutions encore plus avancées, comme l’authentification biométrique et l’analyse comportementale.

Transformez vos équipes en rempart contre les cyberattaques

95 % des incidents de cybersécurité sont dus à des erreurs humaines. Préparez vos collaborateurs en les formant à déjouer les différentes attaques de phishing. Avec Altospam Training, renforcez votre sécurité grâce à une formation personnalisée et des simulations de phishing réalistes, conçues pour préparer vos équipes aux menaces actuelles.

• Formation interactive et automatisée, adaptée aux besoins spécifiques de votre entreprise ;
• Suivi des comportements en matière de sécurité, grâce à des indicateurs précis pour évaluer et améliorer en continu la vigilance de vos équipes ;
• Simulations réalistes de phishing et spear-phishing, pour tester vos collaborateurs face à des scénarios inspirés des cyberattaques réelles ;
• Rapports détaillés et tableau de bord intuitif, pour suivre les progrès et ajuster les actions de sensibilisation en un clin d’œil.

L’avenir du phishing présente des défis,  avec une combinaison de sensibilisation au phishing et de technologies avancées anti-phishing, anti-spearphishing, anti-malware et anti-ransomware, les organisations peuvent renforcer leur sécurité et se prémunir contre les menaces émergentes. Il est essentiel de rester informé des nouvelles tendances et de s’adapter rapidement pour protéger les données et les systèmes contre les attaques de phishing, de spear-phishing et d’ingénierie sociale.