Pour les particuliers comme pour les entreprises, le bilan cyber 2024 n'est pas bon du tout. Les clics sur les liens de phishing ont explosé, soulignant l'urgence de repenser ses pratiques web en 2025.
L’année 2024 aura marqué un tournant inquiétant dans le paysage de la cybersécurité. Avec une hausse de 190 % des clics sur des liens frauduleux, le phishing s’impose comme une menace d’une ampleur inédite. Ce fléau, qui a massivement ciblé les applications cloud, met en lumière une vérité alarmante : les cybercriminels sont devenus des experts dans l’art de manipuler leurs victimes. Alors que le phishing évolue à un rythme effréné, les entreprises, tout comme les particuliers, peinent à suivre et à se protéger.
Des techniques de phishing toujours plus créatives
C’est dans son dernier Cloud and Threat Report que Netskope a tiré la sonnette d’alarme : en 2024, les cybercriminels se sont surpassés, et les taux de clics sur les liens de phishing ont presque triplé.
Dans le détail, plus de 8 utilisateurs sur 1 000 ont cliqué chaque mois sur des liens frauduleux, contre seulement 2,9 en 2023. Une hausse vertigineuse que les chercheurs et chercheuses de Netskope expliquent en partie par la fatigue cognitive des victimes, sans cesse bombardées de tentatives de phishing, mais aussi et surtout par l’évolution des méthodes d’arnaques employées.
Fini les mails mal rédigés et bourrés de fautes : les attaques d’aujourd’hui jouent sur des imitations quasi parfaites de marques de confiance. Pages de connexion factices, publicités malveillantes insérées dans les résultats web sponsorisés, empoisonnement SEO, liens frauduleux glissés dans les commentaires de plateformes d'e-commerce connus, sites malicieux bien que légitimes en apparence, les sources des tentatives de phishing se multiplient. Netskope estime d’ailleurs que le principal vecteur de ces attaques sont les moteurs de recherche (19% des attaques recensées), suivis par les sites de shopping en ligne (10%).
Comme toujours, les pirates cherchent avant tout à obtenir des identifiants personnels pour accéder à des comptes personnels et professionnels. Plus d’un quart (27%) des attaques menées cible directement les plateformes de cloud, avec Microsoft en ligne de mire. Les applications de Redmond – Microsoft Live et Microsoft 365 – représentent à elles-seuls 42% des services cloud les plus visés. Loin derrière, on retrouve les services Adobe (18% des attaques), DocuSign (15%), Yahoo (10%) et AOL (5%).
Si les services de cloud attirent les hackers en priorité, les plateformes bancaires, de télécommunication et de réseaux sociaux n’échappent pas aux tentatives d’arnaques, représentant respectivement 17%, 13% et 11% des cibles de phishing.
L’impact des usages personnels sur la sécurité des entreprises
Mais l’explosion des taux de clics sur les liens de phishing en 2024 n’est pas qu’une affaire de cybercriminels plus malins. Selon les observations de Netskope, elle s’explique aussi par une évolution des pratiques en entreprise : de plus en plus d’employés utilisent des applications personnelles dans le cadre professionnel. D’après le rapport, 88 % des salariés utilisent chaque mois des services de cloud personnels, comme Google Drive et OneDrive, sur leur lieu de travail. Parallèlement, 26 % téléchargent, publient ou partagent des données via des applications personnelles.
Une tendance qui complique sérieusement la tâche des équipes de sécurité. Entre données sensibles transférées sur Google Drive ou LinkedIn et informations partagées via des outils d'IA comme ChatGPT, dont l’utilisation a explosé en milieu professionnel, ces pratiques échappent souvent au contrôle des entreprises. Résultat : les cybercriminels profitent de nouvelles surfaces d'attaque pour infiltrer les systèmes, contourner les politiques internes et exploiter des données stratégiques.
Au-delà des conséquences immédiates, cette porosité entre usages personnels et professionnels témoigne d'un enjeu plus profond : celui d’une perte progressive de contrôle sur les flux d’information, alors même que les cybermenaces se multiplient à un rythme sans précédent.
Repenser la cybersécurité pour des usages hybrides en entreprise comme à la maison
Alors quelles solutions face à des usages qui semblent échapper aux entreprises ? Évidemment, continuer de sensibiliser les employés reste un bon point de départ, et il n’est plus question de se passer de politiques de sécurité renforcées, incluant la protection contre la perte de données (DLP) et le coaching en temps réel, qui permettent d’identifier les comportements à risque et d’intervenir au bon moment.
Mais pour Netskope, ces approches ne suffisent plus. Les chercheurs et chercheuses en cybersécurité insistent sur la nécessité de limiter l’accès aux outils personnels et de mieux encadrer leurs usages. Il ne s’agit pas ici de tout interdire, mais plutôt d’instaurer des garde-fous adaptés à la réalité des besoins et des pratiques réelles des équipes.
Dans tous les cas, que l’on soit professionnel ou particulier, les bons réflexes restent d’actualité pour limiter les risques de piratages. Ne cliquez jamais sur des liens partagés par des inconnus, que vous les ayez reçus par mail ou trouvé dans des commentaires de sites, aussi légitimes soient-ils. Évitez aussi de cliquer sur des liens sponsorisés remontés par les moteurs de recherche, contrôlez toujours l’URL exact des pages web auxquelles vous vous apprêtez à accéder, et installez un antivirus capable de détecter les tentatives de phishing les mieux ficelées.
Source : Netskope
30 décembre 2024 à 09h35
