Pourquoi les attaques par hameçonnage continuent de fonctionner malgré les mesures de sécurité modernes
Nous comprenons le problème. Alors pourquoi revient-il sans cesse ?
Les discussions récentes au sein de la communauté européenne de la cybersécurité, notamment lors de la récente conférence Cyber Intelligence à Bruxelles, témoignent d’une confiance croissante dans la compréhension du paysage des menaces. Et pourtant, la prévalence de certains des risques les plus persistants n’a pas vraiment évolué. Selon les autorités nationales chargées de la cybersécurité, le phishing reste la cyberattaque la plus courante et la plus efficace qui menace les organisations, plus de 90 % des attaques commençant par un e-mail frauduleux.
Non pas parce qu'il est particulièrement sophistiqué, mais parce qu'il continue de fonctionner.
Pourquoi les attaques par hameçonnage restent la menace numéro un
Le phishing reste une menace dominante, car les entreprises peinent à mettre en œuvre de manière systématique et à grande échelle les mesures de sécurité connues. Les principes fondamentaux du phishing sont clairs :
- Ce sont les personnes qui sont visées, pas seulement les systèmes
- C'est peu coûteux et facile à adapter
- L'IA rend le résultat plus convaincant, et non l'inverse
Des initiatives récentes telles qu'EchoLeaks montrent que l'IA ne se contente pas de redéfinir le phishing : elle le perfectionne. Il en résulte des campagnes de phishing d'une plus grande qualité, menées avec beaucoup moins d'efforts.
Une application incohérente du protocole DMARC engendre des risques pour la sécurité
Pourquoi les attaques par hameçonnage continuent-elles de fonctionner malgré les dispositifs de sécurité modernes ? La cybersécurité moderne s'est transformée en un écosystème vaste et complexe. Les législateurs et les experts en cybersécurité déploient des efforts considérables pour réduire et gérer les risques liés à la cybersécurité. Mais comme dans tout système arrivé à maturité, une tension inhérente apparaît entre la gestion continue des risques et leur prévention structurelle.
Les contrôles requis sont bien connus :
- Des contrôles rigoureux en matière d'identité et d'accès
- Une sensibilisation cohérente et pertinente des utilisateurs
- Mise en place de mesures de protection robustes pour les e-mails et les domaines, telles que SPF, DKIM et DMARC
- Réduction des points d'exposition superflus
Cependant, ces mesures de contrôle sont souvent appliquées de manière incohérente. Cela est particulièrement flagrant dans le cas de l'utilisation du protocole DMARC, dont l'adoption s'est améliorée à travers l'Europe, même si sa mise en œuvre reste inégale. Par conséquent, le phishing n'a pas besoin de venir à bout de défenses solides et cohérentes ; il lui suffit de trouver le maillon faible.
Pourquoi le manque de cohérence est la véritable faiblesse
Partout en Europe, il existe un solide réseau de 27 autorités nationales chargées de la cybersécurité, capables d'influencer les résultats en matière de sécurité de base aux niveaux national et régional. Avec des cadres réglementaires tels que la directive NIS2, qui accordent une importance croissante à la sécurité de base, l'argument en faveur de la cohérence n'a jamais été aussi fort.
Pourtant, les approches concernant un sujet aussi fondamental que le DMARC varient encore considérablement. L'adoption du DMARC est souvent évaluée à l'aune de la présence d'un enregistrement DMARC, mais la réduction réelle des risques ne commence véritablement à porter ses fruits que lorsque la politique passe de p=none à p=quarantine ou p=reject. De nombreuses organisations restent sur p=none, ce qui est une bonne première étape pour gagner en visibilité, mais n'empêche pas activement les abus.
Renforcer la sécurité des e-mails en Europe : des obligations plutôt que des recommandations
Les approches varient en Europe : certains pays, comme le Danemark et les Pays-Bas, encouragent l'adoption de ces mesures par le biais de dispositions obligatoires, tandis que d'autres régions s'appuient sur des recommandations. Une approche plus efficace consisterait à recourir davantage à des politiques et à des dispositions obligatoires (et pas seulement à des recommandations) aux niveaux national et régional afin de favoriser une adoption cohérente de mesures de contrôle telles que DMARC.
Le phishing n'a pas besoin de venir à bout des organisations les plus solides ; en tant que principale méthode d'attaque, il lui suffit de continuer à tirer parti des domaines les moins bien protégés de l'écosystème.
Consultez notre liste des obligations et des recommandations relatives au protocole DMARC en constante évolution à travers le monde.
Comment réduire les risques liés au phishing
Le phishing persiste non pas parce qu’il est impossible à éradiquer, mais parce que nous n’appliquons pas les mesures de contrôle de manière cohérente et à grande échelle. Pour lutter efficacement contre le phishing, il ne suffit pas d’améliorer la détection ou de se doter d’outils supplémentaires ; il faut rendre les mesures de contrôle éprouvées plus accessibles, plus cohérentes et plus largement adoptées. Cela implique notamment de mettre systématiquement en œuvre des mesures fondamentales d’authentification des e-mails à l’aide de protocoles tels que DMARC, qui sont souvent sous-utilisés. En agissant ainsi, nous pourrons éliminer l’une des menaces les plus persistantes de l’écosystème.
Tant que cela ne changera pas, le phishing n'a pas besoin d'évoluer, il lui suffit d'attendre.
Si vous souhaitez en savoir plus sur l'adoption du protocole DMARC dans la région EMEA, commencer un essai sans engagement ou nous contacter, n'hésitez pas à nous écrire à l'adresse [email protected]. Nous serons ravis de vous répondre.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
