Sans donner de nom, McAfee relate l’attaque de phishing subie par une entreprise française industrielle, qui s’est fait dérober une majorité de ses données personnelles et confidentielles.
Selon un récent rapport de Mcafee sur la cybercriminalité dans le monde, le phishing coûte 445 milliards de dollars (327 milliards d’euros) à l’échelle mondiale et aurait une incidence sur 150 000 emplois au sein de l’Union européenne. La France n’est pas épargnée, avec un coût qui s’élève à plus de 3 milliards d’euros, soit 1,1 % du PIB. Comment se met en place une attaque de phishing ? MacAfee a retracé le cas d’une attaque subie par une entreprise française industrielle. Orange, premier opérateur français, fut victime deux fois en trois mois de ce type de piratage d'ampleur, qui a touché 1,3 millions de ses abonnés.
Le déroulement de l’attaque
L’éditeur indique que l’acte malveillant a commencé par un mailing massif (corps de mail et pièce jointe) à l’ensemble des collaborateurs. Cette pratique, courante dans le milieu, n’a pas inquiété les destinataires qui ont ouvert la pièce jointe, laissant un logiciel malveillant s’installer sur leur PC et transformer ainsi leur ordinateur en une porte d’entrée au réseau de l’entreprise. Les pirates informatiques ont misé sur la crédulité des collaborateurs et sont parvenus à l’exploiter pour transmettre un document infecté et bénéficier d’un accès à une majorité des données personnelles et confidentielles de l’entreprise ciblée.
« Aujourd’hui, il existe deux grandes raisons de la négligence des entreprises face à ce problème. D’une part, les mises à jour des systèmes et applications en interne ne représentent pas une priorité dans les dépenses de l’entreprise et leur retard constitue une faille potentiellement exploitable par les hackers. D’autre part, la défaillance humaine. En effet, l’utilisateur est souvent le maillon faible de la chaine, peu méfiant des éléments reçus d’un expéditeur inconnu », précise David Grout, Directeur Europe du Sud McAfee.
Ce problème de sécurité des données informatiques est connu des entreprises, mais elles ne sont que 45 % à mettre en place une stratégie de gestion des risques pour l’information et à contrôler son efficacité,, selon une étude menée fin 2013 par Iron Mountain et PwC sur la gestion des risques de l’information dans les entreprises européennes.
