Petit quiz. Qu'est-ce qui est le plus élevé ? 1) Le pourcentage d'Américains qui comprennent correctement que la Terre tourne autour du Soleil, ou 2) le pourcentage d'organisations qui ont admis qu'une attaque par hameçonnage avait pénétré leurs défenses en 2015. Le gagnant ? #Le numéro 2, avec une marge confortable.
In 2012, the National Science Foundation surveyed 2,200 Americans and asked them: “Does the Earth go around the Sun, or does the Sun go around the Earth?” 74% got it right.[1] {Insert your own American educational system joke here.}
Au printemps 2016, une étude parrainée par Cloudmark a interrogé 300 entreprises, toutes comptant plus de 1 000 employés, et 84 % d'entre elles ont admis qu'une attaque de spear phishing avait pénétré leurs défenses de sécurité au cours de l'année écoulée[2].
Dans le monde des statistiques, 84 %, c'est énorme. Si le bulletin météorologique indique qu'il y a 84 % de chances qu'il pleuve, combien de personnes tentent leur chance avec les 16 % et laissent le parapluie à la maison ? Cette année, les candidats doivent obtenir un minimum de 15 % dans plusieurs sondages pour pouvoir participer aux débats présidentiels ; si vous obtenez 16 %, vous êtes considéré comme à peine pertinent. Si les pronostiqueurs de Vegas estiment que votre équipe a 16 % de chances de gagner dimanche, vous gagnerez 7 fois votre mise si elle fait une surprise ; personne ne prendrait un pari à égalité avec 16 % de chances de gagner.
Et soyons honnêtes, ces 16 % sont probablement inférieurs à la réalité. Sur les 48 entreprises (16 %) interrogées qui affirment ne pas avoir été victimes de harponnage, combien ont réellement empêché la pénétration et combien n'ont tout simplement pas été ciblées au cours des 12 derniers mois.
Il est toutefois remarquable que les utilisateurs des outils actuels de surveillance des menaces des fournisseurs parient sur les 16 % de chances que les attaquants sophistiqués d'aujourd'hui puissent être empêchés de pénétrer les défenses des réseaux externes. La technologie de surveillance des menaces des fournisseurs est actuellement axée sur l'analyse et l'évaluation des défenses du réseau externe d'un fournisseur, l'hygiène IP, les discussions sur le dark web ou les médias sociaux, les correctifs ou la maintenance des certificats SSL/TLS : des informations qui ont très peu - ou pas du tout - d'intérêt pour la capacité d'une organisation à prévenir une attaque de phishing réussie. Il est difficile de l'admettre, mais un pare-feu est l'équivalent moderne de la ligne Maginot.
Les téléphones portables ont remplacé les téléphones fixes. Yahoo news a remplacé les journaux. Google maps a remplacé AAA TripTik[3]. Game of Thrones a remplacé les Sopranos. Et la détection a remplacé la prévention. La question de savoir si les fournisseurs sont prêts à protéger les données sensibles d'untiers dépend à 95 % de ce qu'ils font derrière le pare-feu et à 5 % de ce qu'ils font devant.
Ou peut-être est-ce 84 % contre 16 %... mais vous voyez ce que je veux dire.
[1] http://www.npr.org/sections/thetwo-way/2014/02/14/277058739/1-in-4-americans-think-the-sun-goes-around-the-earth-survey-says
[2] https://blog.cloudmark.com/2016/01/13/survey-spear-phishing-a-top-security-concern-to-enterprises/
[3] Oui. L'auteur de ce blog est âgé.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
