MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Netskope, un leader sur le marché du SASE (Secure Access Service Edge), publie aujourd’hui les résultats d’une nouvelle étude selon laquelle les employés des grandes entreprises ont cliqué sur des liens frauduleux près de trois fois plus en 2024 qu’en 2023, en raison de la croissance constante de la quantité et de la qualité des attaques par phishing. Les conclusions, tirées des données recueillies par Netskope auprès d’entreprises du monde entier, et publiées dans le cadre de son Cloud & Threat Report annuel, font état d’une hausse des risques de sécurité liés à l’utilisation persistante d’applications cloud personnelles, ainsi qu’à l’adoption continue d’outils d’intelligence artificielle générative (IA générative) dans les environnements professionnels. Cette situation appuie encore un peu plus sur la nécessité d’adoption de politiques de sécurité des données de pointe pour gérer ces risques proactivement.
Malgré les efforts récurrents des entreprises en matière de formation et de sensibilisation à la sécurité, ainsi que l’accent mis sur la façon dont les employés peuvent se prémunir contre les tentatives de phishing, les employés ont cliqué sur des leurres en moyenne trois fois plus souvent en 2024 qu’en 2023. Plus de huit utilisateurs sur 1 000 ont cliqué sur un lien frauduleux tous les mois, soit une progression de 190 % par rapport à 2023, année comptant moins de trois utilisateurs sur mille victimes d’une tentative d’hameçonnage.
Le lieu d’hébergement des contenus frauduleux fait également partie des éléments d’ingénierie sociale. Les cyberattaquants ciblent des plateformes bénéficiant de la confiance implicite de leurs utilisateurs, notamment de populaires applications cloud telles que GitHub, Microsoft OneDrive ou Google Drive. En 2024, elles furent la source de téléchargements de contenus malveillants au moins une fois par mois dans 88 % des entreprises.
Les applications cloud représentent la principale cible des campagnes de phishing sur lesquelles les utilisateurs ont cliqué en 2024, avec plus d’un quart de l’ensemble des clics (27 %). Parmi celles-ci, Microsoft est de loin la marque la plus ciblée (42 %), les attaquants visant les identifiants Microsoft Live et Microsoft 365.
L’omniprésence d’applications cloud personnelles au sein des entreprises a créé un environnement où les employés utilisent, sciemment ou non, leurs propres outils pour traiter ou stocker des informations sensibles, ce qui entraîne une perte du contrôle des données par leur organisation et des fuites potentielles. Parmi les principales applications personnelles utilisées pour envoyer des données figurent les applications de stockage sur le cloud, les messageries sur internet (webmail), l’IA générative, les réseaux sociaux et les calendriers personnels.
En 2024, 88 % des employés ont utilisé chaque mois des applications cloud personnelles, tandis que plus d’un quart d’entre eux (26 %) ont téléchargé, publié ou envoyé des données vers des applications personnelles. La fuite de données sensibles par l’intermédiaire d’applications personnelles reste une préoccupation majeure pour la plupart des entreprises, le type de violation des règles de protection le plus courant concernant les données régulées (60 %), ce qui inclut les données personnelles, financières ou de santé téléchargées vers des applis personnelles. Parmi les autres types de données figurent la propriété intellectuelle (16 %), les codes source (13 %), les mots de passe et les clés (11 %), ainsi que les données chiffrées (1 %).
En 2023, l’IA générative a marqué de son empreinte les environnements professionnels. L’adoption des applications d’IA générative par les entreprises et par leurs employés s’est accélérée en 2024, de même que le nombre d’applications d’IA générative utilisées. À titre d’exemple :
L’utilisation de l’IA générative dans les entreprises est passée de 81 % en 2023 à 94 % en 2024. Utilisée dans 84 % des entreprises, ChatGPT demeure l’application d’IA générative la plus populaire ;
En ce qui concerne les employés, le taux d’utilisation des outils d’IA générative a triplé, passant de 2,6 % de l’ensemble des effectifs à 7,8 %. Les secteurs de la vente au détail et de la technologie pointent en tête, toutes catégories d’entreprises confondues, avec une moyenne de plus de 13 % des employés de ces secteurs utilisant des applications d’IA générative chaque mois ;
En moyenne, les organisations utilisent désormais 9,6 applications d’IA générative, au lieu de 7,6 il y a un an. Le quart des entreprises utilisant le plus grand nombre d’outils d’IA générative en dénombre 24, contre quatre au plus pour celles qui s’en servent le moins. Gérer les risques liés aux données d’IA générative
Alors que les applications d’IA générative ont continué de conforter leur position incontournable (94 % des organisations les utilisent aujourd’hui) en 2024, les entreprises ont montré qu’elles commencent seulement à mettre en œuvre des contrôles afin de garantir leur utilisation sécurisée, ainsi que de minimiser les risques liés aux données qu’elles posent :
45 % des entreprises emploient la prévention des pertes de données (DLP : Data Loss Prevention) pour contrôler le flux de données injectées dans les outils d’IA générative. L’adoption de cette technologie de contrôle varie sensiblement d’un secteur à l’autre, les télécommunications se positionnant en tête (64 %) ;
34 % des organisations se servent d’un coaching utilisateur interactif en temps réel pour renforcer la capacité de leurs collaborateurs à prendre des décisions réfléchies et pertinentes ;
Dans 73 % des cas, les utilisateurs avertis d’une compromission potentielle de leur entreprise décident de ne pas agir conformément aux informations obtenues lors des séances de coaching.
73 % des entreprises bloquent au moins une application d’IA générative, avec un taux constant de 2,4 outils d’IA générative bloqués en moyenne par an ;
Le nombre d’applications stoppées par les 25 % d’entreprises qui les bloquent le plus a plus que doublé, passant de 6,3 à 14,6 applis au cours de l’année écoulée. Principaux enseignements pour les entreprises
Netskope recommande aux entreprises de prendre les mesures de protection suivantes :
Les utilisateurs reçoivent en permanence des liens de phishing provenant de toutes directions : courriels, réseaux sociaux, publicités dans les résultats proposés par les moteurs de recherche, et partout sur le web. De plus, l’IA générative permet aux cyberattaquants de créer plus facilement des leurres convaincants. Tout cela souligne qu’il ne suffit pas de compter sur la formation seule pour que les utilisateurs puissent détecter une tentative de phishing et qu’elle doit être complétée par des investissements en faveur d’outils de protection des données de nouvelle génération ;
Les employés continueront, de façon accidentelle ou intentionnelle, à partager des fichiers via leurs comptes personnels, à inclure des informations d’entreprise dans leurs sauvegardes personnelles ou à utiliser des instances d’applications personnelles pour emporter des données lorsqu’ils quittent leur entreprise. Quelle que soit l’intention, les organisations doivent limiter l’accès aux applications qui appuient un objectif professionnel précis, créer un processus d’analyse et d’approbation des nouvelles, et mettre en œuvre un processus de surveillance continue qui alertera les opérateurs de sécurité en cas de mauvais usage ou de compromission des applications ;
Le nombre d’entreprises et d’employés qui utilisent l’IA générative va continuer d’augmenter en 2025, à mesure que cette technologie s’ancrera sur le lieu de travail. Dans le même temps, le nombre d’outils d’IA générative va lui aussi poursuivre sa croissance, de sorte que des contrôles seront indispensables pour vérifier que seuls ceux approuvés sont utilisés, uniquement pour les usages également autorisés. Les entreprises doivent adopter des outils de sécurité de nouvelle génération pour contrôler le mouvement des données dans les applications validées, s’appuyer sur le coaching en temps réel pour permettre aux utilisateurs de prendre des décisions pertinentes, et mettre en œuvre des contrôles capables de stopper les outils non approuvés.
« Le lien commun entre les entreprises qui cherchent à autoriser l’utilisation sécurisée d’applications dans leur environnement de travail, et atténuer les défis gravitant autour du paysage des menaces, est la nécessité d’utiliser des solutions de sécurité des données appropriées, » déclare Ray Canzanese, Netskope Threat Labs Director. « L’époque où celle-ci était une réflexion a posteriori est révolue. Elle doit désormais être intégrée en toute transparence à tous les aspects de l’activité des entreprises. Qu’il s’agisse de se défendre contre le phishing, de protéger les applications personnelles ou de gérer l’IA générative, la sécurité des données va au-delà de la défense de zone. Elle représente un cadre proactif dynamique qui s’appuie sur des techniques de coaching en temps réel des utilisateurs, la prévention des pertes de données (DLP) et des contrôles spécifiques aux applications, qui permet aux entreprises de conserver une longueur d’avance sur un paysage des menaces en constante mutation. »
