Le vol des identifiants de connexion des employés est l’un des moyens les plus efficaces pour les acteurs malveillants d’infiltrer l’infrastructure de votre organisation. Une fois qu’ils ont en main les informations de connexion de l’un de vos comptes, il leur est beaucoup plus facile de contourner les mesures de sécurité et d’accéder à vos données sensibles. Comment les pirates obtiennent-ils ces informations de connexion ? Dans de nombreux cas, il s’agit de phishing mobile.
Les environnements de travail hybrides et les politiques « Bring-your-own-device » (BYOD) peuvent être les deux raisons de cette hausse. Les entreprises ont dû accepter que les appareils mobiles personnels soient utilisés à des fins professionnelles. Mais il faut garder à l’esprit que chaque appareil mobile, qu’il soit personnel ou appartenant à l’entreprise, managé ou non, iOS ou Android – est susceptible de faire l’objet de tentatives d’hameçonnage.
Comment le BYOD a changé le paysage du phishing
Les smartphones et les tablettes ont permis aux employés d’être plus productifs depuis n’importe où, mais ils ont également introduit de nouveaux défis pour les équipes informatiques et de sécurité. Les politiques BYOD signifient que plus de personnes que jamais utilisent leurs appareils personnels pour le travail, ce qui signifie que les risques qu’ils encourent lorsqu’ils utilisent ces appareils pour des raisons personnelles sont également des risques pour l’organisation. Les équipes informatiques et de sécurité ont également beaucoup moins de visibilité sur ces appareils que sur les appareils appartenant à l’entreprise, ce qui signifie qu’il est plus difficile de gérer ces risques accrus.
C’est en gardant ces facteurs à l’esprit que les attaquants ciblent désormais fortement les appareils personnels des utilisateurs pour infiltrer les organisations. Un employé peut être victime d’un stratagème d’ingénierie sociale à partir de canaux personnels tels que les médias sociaux, WhatsApp ou les e-mails, et une fois qu’il l’est, les attaquants peuvent accéder aux réseaux ou aux données de leur employeur.
Des millions d’euros en jeu
Les données ne sont pas la seule chose que vous risquez lorsque vous tombez dans le piège d’une escroquerie par hameçonnage. Les secteurs hautement réglementés tels que les assurances, les banques et le secteur juridique sont considérés comme les plus lucratifs et sont plus susceptibles d’être ciblés en raison de la grande quantité de données sensibles qu’ils détiennent.
Ces coûts élevés interviennent à un moment où le nombre de cas de phishing n’a jamais été aussi élevé. Par rapport à 2020, les taux de clics sont aujourd’hui supérieurs de 10 % pour les appareils d’entreprise et de 20 % pour les appareils personnels. De plus, les gens cliquent sur les liens de phishing plus souvent qu’en 2020, ce qui pourrait signifier que les attaquants s’améliorent dans la création de messages d’apparence authentique. Avec plus de risques et plus d’argent en jeu que jamais, les organisations doivent adapter leurs stratégies de sécurité pour protéger leurs données.
Les équipes informatiques et de sécurité doivent adopter des stratégies qui leur permettent de visualiser, de détecter et de minimiser les risques pour les données posés par les attaques de phishing sur tous les appareils des employés, qu’ils appartiennent à l’entreprise ou qu’ils soient personnels.
Par Bastien Bobe, Directeur Technique EMEA chez Lookout