Le rapport InsurSec 2025 d’At-Bay montre que 90 % des réclamations de cyber-assurance proviennent du courrier électronique et des VPN, et que les grandes entreprises restent des cibles privilégiées.
Même si les méthodes des attaquants sont de plus en plus sophistiquées, il semble inutile de jouer avec ce qui a fait ses preuves.
Selon la société de cyberassurance At-Bay, le courrier électronique et l’accès à distance restent les principaux vecteurs de cybermenace, représentant 90 % des réclamations de cyberassurance en 2024.
Et, sans surprise, ce sont les grandes entreprises qui continuent d’être les plus durement touchées. Mais il est intéressant de noter que les réseaux privés virtuels (VPN) sur lesquels beaucoup s’appuient sont tout sauf sécurisés, malgré les hypothèses contraires.
« Grâce à nos données, nous savons que les attaques de phishing passent par les filtres de messagerie et atterrissent dans les boîtes de réception des utilisateurs », a déclaré David Shipley de Beauceron Security. « Il s’agit d’un regard fascinant sur les conséquences de cela du point de vue des données d’assurance. »
L’email reste le point le plus faible
At-Bay a réalisé une analyse complète des cyber-réclamations entre 2021 et le premier trimestre 2025. Selon l’étude, le bon vieux courrier électronique continue d’être de loin le principal vecteur d’entrée des attaques (43 % de tous les incidents en 2024). Parallèlement, la fréquence des réclamations impliquant des e-mails continue d’augmenter, augmentant de 30 % d’une année sur l’autre en 2024.
Ces attaques constituent « les risques les plus persistants et les plus croissants pour les entreprises » et se sont « considérablement accélérées » à mesure que les pirates informatiques expérimentent de plus en plus l’IA générative, notent les chercheurs.
Il est alarmant de constater que 83 % des attaques frauduleuses commencent par un e-mail et que les conséquences sont coûteuses : le montant moyen des fonds transférés lors d’un incident était de 286 000 $, la transaction la plus importante étant de 5 millions de dollars.
Le rapport présente l’anatomie d’une attaque de fraude par courrier électronique :
- L’infiltration: Les pirates volent des informations d’identification pour compromettre un système de messagerie et rechercher des informations sur les relations et les transactions.
- La configuration: L’attaquant trouve une facture d’un employé adressée à un client, puis enregistre un domaine qui correspond « presque parfaitement » au domaine réel de l’employé (par exemple, acme.co au lieu de acme.com).
- L’usurpation d’identité: L’acteur malveillant crée un compte de messagerie sur le nouveau domaine imposteur et utilise les mêmes nom, adresse et signature qu’un véritable employé.
- La demande: Le pirate informatique envoie un e-mail au client qui a envoyé une facture et lui demande de réacheminer le paiement, y compris le fil de discussion d’origine pour le rendre légitime.
- Le paiement: Si la victime tombe sous le charme de la demande et que la fraude n’est pas détectée en temps réel, l’attaquant récupère les fonds.
Les chercheurs soulignent que dans ces cas, l’organisation victime n’a pas eu de faille de sécurité ; un employé vient d’être trompé. « Les victimes ont peu de possibilités de détecter une activité anormale ou malveillante jusqu’à ce qu’il soit trop tard », ont-ils déclaré.
Google Workspace est le fournisseur de messagerie le plus sécurisé, indique le rapport, même si les réclamations concernant la plateforme ont triplé d’une année sur l’autre. Les utilisateurs de Microsoft 365 ont également enregistré une augmentation des réclamations, bien qu’At-Bay n’ait pas quantifié cette croissance.
Les grandes entreprises les plus exposées
L’étude indique également que les grandes entreprises constituent des cibles juteuses : les entreprises dont les revenus se situent entre 100 et 500 millions de dollars avaient une fréquence de réclamation par courrier électronique trois fois plus élevée que celles dont les revenus étaient bien inférieurs (inférieurs à 25 millions de dollars). Par ailleurs, les sinistres des grandes entreprises ont augmenté de 70 % en une seule année.
« Les grandes entreprises exécutent régulièrement des transactions financières plus importantes, gèrent des soldes plus élevés et traitent davantage de volumes de paiements, ce qui les rend plus attrayantes pour les attaquants », écrivent les chercheurs. Des réseaux de fournisseurs plus vastes et des structures organisationnelles complexes introduisent également davantage de faiblesses et permettent aux pirates d’intercepter les communications et de s’infiltrer.
La fréquence moyenne des réclamations parmi les clients utilisant des outils de sécurité de messagerie a augmenté de 53 % d’une année sur l’autre, selon les chercheurs. Les utilisateurs de presque tous les outils de sécurité de messagerie présentaient des fréquences de réclamations plus élevées, à l’exception de Sophos ; At-Bay attribue cela aux premiers investissements de Sophos dans le traitement du langage naturel (NLP) capable de détecter les fraudes. Les autres plates-formes analysées comprenaient Proofpoint, Mimecast, Barracuda, Intermedia et Appriver.
Les dangers des VPN et de l’accès à distance
Les réseaux privés virtuels (VPN) constituent également un vecteur d’intrusion majeur, selon les conclusions d’At-Bay. En 2024, par exemple, 80 % des attaques de ransomwares ont commencé avec un outil d’accès à distance, dont 83 % impliquant un VPN.
Il est intéressant de noter que les VPN sur site autogérés présentaient le risque le plus élevé : leurs utilisateurs étaient 4 fois plus susceptibles d’être victimes d’attaques de ransomware que les entreprises disposant de VPN basés sur le cloud, ou même celles n’ayant pas de VPN du tout. Notamment, Cisco et Citrix étaient les VPN les plus à risque en 2024 ; les entreprises qui les utilisent étaient près de 7 fois plus susceptibles d’être victimes de ransomwares.
Selon Adam Tyra, RSSI d’At-Bay pour les clients, cela est dû au fait que les dispositifs d’accès à distance modernes sont de plus en plus complexes et vulnérables, « ce qui rend les intrusions de ransomwares plus difficiles à prévenir et plus inévitables ». La détection et la réponse gérées par des professionnels semblent être le seul contrôle qui empêche systématiquement le chiffrement complet des ransomwares, a-t-il déclaré.
« Je ne suis pas surpris de voir l’impact des attaques sur les dispositifs de sécurité des réseaux ; cela correspond aux histoires que nous avons vues toute l’année », a ajouté Shipley de Beauceron. « La mauvaise nouvelle est que, avec la possibilité de militariser les vulnérabilités dès maintenant 15 minutes seulement après la publication du CVE, et pour aussi peu qu’un dollar, la situation va probablement empirer en 2026. »
Les entreprises doivent être vigilantes
Les chercheurs d’At-Bay ont noté que les outils de détection et de réponse gérés (MDR) aidaient à empêcher le chiffrement, mais que les plates-formes de passerelle de messagerie sécurisée (SEG) échouaient à plusieurs reprises à détecter les abus de courrier électronique, le contenu faux dans les fils de discussion et les courriers électroniques malveillants envoyés entre utilisateurs de la même entreprise.
« Nous avons été surpris de constater que la plupart des outils de sécurité de messagerie que nous avons testés n’ont détecté pratiquement aucun courrier électronique frauduleux », ont déclaré les chercheurs. « Les rares outils qui ont bien fonctionné étaient les outils les plus récents, construits dès le départ avec l’IA. Cela était important car les e-mails frauduleux ne montrent souvent pas de signes évidents que les outils traditionnels basés sur des règles peuvent détecter. »
Les outils basés sur l’IA peuvent identifier des modèles de langage (le ton ou le style d’écriture d’un utilisateur) pour signaler les anomalies, détecter les artefacts faciles à manquer, signaler les homoglyphes (lorsque les caractères ressemblent à l’œil nu mais ont un code sous-jacent différent, comme « I » contre « 1 »), et détecter d’autres astuces et changements subtils (tels que les numéros de téléphone, les signatures ou les en-têtes).
« Je pense que voici un excellent point de données expliquant pourquoi la cyberdéfense en profondeur doit inclure une sensibilisation à la sécurité et pas seulement le recours à des outils de cybersécurité tels que les filtres de courrier électronique », a déclaré Shipley.
Les entreprises ne sont pas en mesure de mettre à jour les correctifs assez rapidement, a-t-il souligné, soulignant que la seule solution réside dans une meilleure qualité des produits fournis par les fournisseurs de sécurité réseau.
« Cependant, étant donné que le leadership américain en matière de réglementation a perdu de son attention avec la fin des décrets de l’ère Biden, l’avenir s’annonce un peu sombre », a déclaré Shipley.
Changer les tactiques des attaquants n’aide pas. Jim Routh, responsable de la confiance chez Saviynt, a souligné que les acteurs malveillants utilisent l’IA environ 50 % du temps pour rendre les e-mails et les SMS de phishing plus convaincants, réduisant ainsi le temps pendant lequel ils peuvent se déplacer latéralement à environ 18 minutes.
En réponse, a-t-il déclaré, les entreprises devraient construire un « système immunitaire numérique » avec des outils de science des données capables de comparer les attributs en ligne à des modèles précédemment validés et de déterminer les scores d’écart. Des seuils prédéterminés peuvent déclencher des flux de travail automatisés pour aider les organisations à remédier aux incidents et à s’en remettre « en quelques millisecondes ».
« Cette approche ne nécessite pas d’IA, mais elle peut aider les agents à prendre en charge les flux de travail », a déclaré Routh.
