3 conséquences méconnues des attaques de phishing sur les entreprises

Quelle est la conséquence des attaques de phishing menées contre les entreprises ? À cette question, la plupart des MSP, PME et autres cibles récurrentes de ces menaces répondront sans doute immédiatement « les coûts ».

Et en effet, d’après les données du FBI, les attaques de Business email compromise (BEC) et de phishing coûtent respectivement plus de 1,8 milliard de dollars et 54 millions de dollars chaque année aux seules entreprises américaines. Ces chiffres sont certes exorbitants, mais une analyse approfondie des coûts directs générés par le phishing permet de se rassurer quelque peu. Selon Verizon, le coût médian d’une attaque BEC tourne en réalité autour de 30 000 $ « seulement ». Évidemment, aucune entreprise n’a véritablement envie de perdre 30 000 $, mais cette somme ne les fera pas nécessairement mettre la clé sous la porte.

En Europe, la situation des PME est un peu différente. D’après une étude réalisée par l’Agence européenne chargée de la sécurité des réseaux et de l'information, le phishing constitue l’attaque la plus fréquente menée contre les PME. 57 % d’entre elles affirment par ailleurs qu’un problème de cybersécurité grave pourrait les pousser à la faillite.

Les pertes financières sont certes un réel problème, mais elles sont loin d’être les seules conséquences d’une attaque de phishing. Les professionnels de la sécurité qui étudient plus en détail cette question peuvent probablement en nommer quelques autres, comme le coût des temps d’arrêt, la perte de données sensibles, la dégradation de la réputation, l’attrition des clients, etc.

Pour autant, cette vision, bien que plus large, reste incomplète. En vérité, les attaques de phishing ont de nombreux impacts méconnus sur les entreprises. Voyons ensemble trois exemples qui montrent comme elles peuvent créer plus de dégâts qu’il n’y paraît au premier abord.

1. Les attaques de phishing multiplient les risques d’attaques futures

Les objectifs des attaques de phishing sont multiples. Toutes ne sont pas des scams ponctuels destinés à accéder à un compte bancaire. Selon Verizon, la plupart des violations de données (environ 80 %) sont perpétrées par des organisations criminelles. Comme vous vous en doutez, ces organisations n’ont pas pour but ultime un butin de 50 $ de cartes cadeaux ou le solde de votre compte PayPal. Pour pêcher de plus gros poissons, elles doivent lancer des attaques bien plus ambitieuses.

Bien souvent, les attaques de phishing génériques ne sont donc en réalité que les préparatifs d’une attaque ultérieure plus importante. Les attaques en plusieurs phases se composent ainsi d’une attaque de phishing permettant de récupérer des informations ou des identifiants, puis d’une attaque de spear phishing plus ciblée, capable de pousser un cadre dirigeant à divulguer des données sensibles, par exemple ses propres identifiants. Une enquête de la SEC a révélé qu’une entreprise, restée anonyme, avait été victime d’un tel scénario en 2020. Lors d’une attaque BEC, un faux cadre dirigeant a demandé l’exécution de 14 virements bancaires sur plusieurs semaines, pour un total de plus de 45 millions de dollars.

En fonction de la cible et des informations obtenues, un acteur malveillant pourrait aussi installer un malware sur un système sensible pour déclencher une attaque de plus grande envergure par la suite. Il pourrait également tomber sur des informations clés concernant la sécurité de l’organisation. Dans ce cas, même si vous repérez l’attaque de phishing après coup, le hacker peut conserver des informations essentielles qui faciliteront une attaque plus sérieuse ultérieurement.

2. Les attaques de phishing sophistiquées multiplient votre risque juridique

Cela donne un peu l’impression de tirer sur l’ambulance, mais les entreprises victimes de phishing courent en plus un risque juridique.

Par exemple, si une attaque de phishing permet l’installation d’un ransomware sur vos systèmes et que vous choisissez de payer la rançon, les États-Unis pourraient vous infliger une amende de plusieurs millions de dollars. Le Treasury Department’s Office of Foreign Assets Control (OFAC) tient une liste noire nommée Specially Designated Nationals and Blocked Persons (SDN) qui inclut les groupes de hackers souvent liés à des États hostiles, comme la Corée du Nord. Les entités et citoyens américains ont interdiction formelle de traiter avec les membres de cette liste, paiement de rançons comprises.

Mais le phishing vous fait aussi courir d’autres risques juridiques. Par exemple, les MSP peuvent être traînés en justice par leurs clients lorsque ces derniers sont victimes d’une telle attaque. C’est exactement ce qui est arrivé à Involta, le MSP de Boardman Molded Products, une entreprise de l’Ohio qui a perdu près de 1,7 million de dollars à cause du phishing. Elle a poursuivi Involta en justice au motif que l’entreprise avait violé son ordre de mission en « ne protégeant pas l’activité de Boardman avec des services sécurisés et hautement disponibles hébergés dans ses installations professionnelles ».

Bien entendu, toute entreprise gérant des informations client sensibles s’expose à de telles poursuites en cas d’attaque. En 2021, le prestataire de santé San Diego Health a découvert que les données de presque 500 000 patients avaient fuité. Il a alors été la cible de plusieurs actions de groupe estimant qu’il n’est pas parvenu à protéger les données des patients, n’a pas mis en place de mesures de cybersécurité standard et n’a pas formé les employés pour les aider à identifier et éviter les tentatives de phishing.

3. Les attaques de phishing font courir un risque aux clients et aux fournisseurs

Si les organisations sont exposées à des conséquences juridiques après une attaque de phishing, c’est notamment parce qu’elles font des autres membres de leur réseau de véritables cibles.

Les cyberattaques contre les MSP sont populaires, car elles permettent aux hackers d’accéder à un réseau entier de victimes potentielles. À ce titre, les MSP constituent des cibles particulièrement intéressantes, car ils sont plus susceptibles que les autres organisations de détenir des informations sensibles concernant leurs clients, informations qui peuvent servir par la suite à une autre cyberattaque. Pour autant, n’importe quelle organisation peut servir de point de départ à une future attaque contre une autre victime.

Aucune entreprise n’est isolée. Toutes sont connectées à des clients, utilisateurs finaux, fournisseurs et autres parties prenantes. Une attaque de phishing n’a ainsi pas que des conséquences financières : elle fait aussi de vous le patient zéro d’une véritable cyberépidémie.

Il est capital d’avoir connaissance de sa situation

Les MSP, PME et autres organisations doivent bien connaître leur situation pour éviter toutes ces conséquences négatives. Il leur faut comprendre toutes les conséquences d’une violation de leurs défenses, notamment celles que nous avons évoquées dans cet article.

Mais ce n’est pas tout : ils doivent aussi comprendre leur posture de sécurité globale et les menaces qui pèsent sur eux. Avec ses solutions de cybersécurité, et notamment ses solutions de sécurité de l’email, Vade bénéficie d’une position privilégiée pour accompagner les professionnels de la cybersécurité face au phishing. En collectant les données issues de nos technologies, nous pouvons analyser les URL et marques dont l’identité est la plus souvent usurpée, données que nous publions dans notre classement trimestriel Phisher’s Favorites.

Consultez-en la dernière édition pour vous assurer que votre organisation est bien informée et peut éviter les conséquences du phishing, qu’elles soient méconnues ou évidentes.