Plus d’un employé d’entreprise sur trois en Afrique est vulnérable aux attaques par hameçonnage et aux escroqueries par ingénierie sociale. Cependant, une formation régulière peut réduire de manière significative les risques de se retrouver victime de ces cyber-menaces.
C’est l’une des principales conclusions du rapport 2023 de KnowBe4, Phishing by Industry Benchmarking Report for Africa, qui mesure le pourcentage d’organisations vulnérables au hameçonnage (PPP – Phish-prone Percentage). Cette métrique indique le nombre d’employés susceptibles de tomber dans le piège d’une attaque par hameçonnage ou par ingénierie sociale.
Le rapport se fonde sur les données de plus de 12,5 millions d’utilisateurs dans 35 681 organisations opérant dans 19 secteurs d’activité différents. Les résultats de plus de 32,1 millions de tests de sécurité simulant un hameçonnage sont également inclus. Le rapport de cette année présente des analyses comparatives internationales détaillées sur l’hameçonnage dans différentes régions du monde : Amérique du Nord, Royaume-Uni et Irlande, Europe, Afrique, Amérique du Sud, Asie, Australie et Nouvelle-Zélande.
En Afrique, 412 organisations d’Afrique du Sud, du Kenya, du Nigeria et du Botswana ont participé aux tests de simulation d’hameçonnage, avec un total de 337 937 e-mails envoyés. La majorité de ces organisations (58 %) étaient de petite taille (1 à 249 employés), suivies d’entreprises de taille moyenne (26 %, 250 à 999 employés) et de grandes entreprises (16 %, plus de 1 000 employés).
L’indicateur PPP de référence obtenu mesurait le pourcentage d’employés des organisations qui n’avaient pas suivi de formation KnowBe4 à la sécurité et qui avaient cliqué sur un lien contenant un e-mail d’hameçonnage factice ou ouvert une pièce jointe infectée pendant le test.
Les professionnels africains avaient un PPP de référence inférieur à celui de nombreuses autres régions. En d’autres termes, ils étaient moins susceptibles de se laisser piéger par des attaques par hameçonnage même sans avoir reçu une formation. Cependant, leur taux d’amélioration après 90 jours de formation était également inférieur à celui des autres régions. Après un an de formation continue, les utilisateurs africains ont amélioré leur PPP de 79,8 %, un chiffre qui atteste de l’efficacité d’une sensibilisation constante à la sécurité.
Le pare-feu humain de l’Afrique
« Le rapport montre clairement que si la technologie joue un rôle important dans la prévention et la récupération d’une attaque, les organisations ne peuvent pas se permettre d’ignorer le facteur humain », explique Anna Collard, vice-présidente senior de la stratégie de contenu et porte-parole chez KnowBe4 Africa. « La cause première de la plupart des violations de données peut être imputée au facteur humain. »
Le rapport montre que faute d’une formation à la sécurité, 33,2 % des employés toutes régions et tous secteurs d’activité confondus risquent de se laisser piéger par des attaques d’hameçonnage ou par des demandes frauduleuses. La moyenne de l’Afrique était de 32,8 %, soit un peu mieux que la moyenne mondiale et bien meilleure qu’en Amérique du Sud, où la moyenne était de 41,1 %. C’est en Asie que le taux d’hameçonnage est le plus faible (30 %).
Notes d’Anna Collard : « Les résultats des tests de référence en matière de sécurité contre l’hameçonnage montrent qu’un employé sur trois risque de cliquer sur un lien ou un e-mail suspect ou encore de répondre à une demande frauduleuse s’il n’a pas bénéficié d’une formation préalable. Ces chiffres sont très préoccupants si l’on considère que c’est en Afrique que la cybercriminalité a connu la plus forte croissance ces dernières années, et que ces attaques frappent en particulier les petites et moyennes entreprises. »
La formation réduit très fortement les risques
90 jours après la formation, la moyenne de la métrique PPP en Afrique était de 20,5 %, par rapport à une moyenne mondiale de 18,5 %. Après une année de formation régulière, le PPP de l’Afrique était de 6,6 %, contre une moyenne mondiale de 5,4 %, ce qui indique que les nouvelles habitudes deviennent la norme et favorisent une culture de la sécurité renforcée.
Au départ, les entreprises africaines de taille moyenne avaient le PPP le plus faible : 29,4 %, suivies par les petites entreprises (30 %) et par les grandes entreprises qui affichaient un taux étonnamment élevé de 33,3 %. Après la formation, ce sont les grandes entreprises qui ont obtenu les meilleurs résultats, avec un PPP moyen de 19 % 90 jours après la formation et de 5,7 % au bout d’un an. Les entreprises de taille moyenne sont passées à 22,7 % 90 jours après la formation et à 10,5 % au bout d’un an. Le PPP des petites entreprises s’est amélioré, passant à 25,2 % après 90 jours et à 9 % au bout d’un an.
Le rapport révèle également les secteurs d’activité qui sont les plus exposés aux cybermenaces et qui ont le PPP le plus élevé. Ces résultats sont le signe d’une plus grande vulnérabilité et un besoin accru en sensibilisation à la sécurité. Dans l’ensemble des petites et moyennes organisations, ce sont le secteur des soins de santé et l’industrie pharmaceutique qui affichent les PPP les plus élevés, avec respectivement 32,3 % et 35,8 %. Dans les grandes organisations, le secteur de l’assurance est resté le plus à risque pour la deuxième année consécutive, avec un PPP de 53,2 % au niveau mondial. Avec une formation régulière pendant un an ou davantage, l’amélioration moyenne du PPP dans l’ensemble des secteurs était de 82 %.
« Ces résultats soulignent l’importance d’une formation continue et cohérente pour sensibiliser à la cybersécurité et la nécessité de réaliser des tests pour réduire vraiment les risques », déclare Anna Collard. « Il ne suffit pas d’avertir les utilisateurs ou d’organiser une session de formation de temps en temps. La cybersécurité doit être ancrée dans la culture de l’entreprise ».