Études

Un employé moyen du gouvernement britannique reçoit 2 400 e-mails malveillants par an.

Un employé moyen du gouvernement britannique reçoit 2 400 e-mails malveillants par an.



Selon les demandes de FOI soumises par l'équipe de recherche de Comparitech, les employés du gouvernement britannique ont reçu chacun 2 400 e-mails malveillants en 2021. Dans un peu moins de 260 organisations gouvernementales, nous estimons que 764 331 employés du gouvernement ont reçu un total de 2,69 milliards d'e-mails malveillants en 2021.

Les e-mails malveillants sont définis comme des logiciels malveillants (y compris les ransomwares), du phishing et des spams.



Notre équipe a également soumis des FOI à tous les conseils d’Angleterre. Nous avons constaté que chaque employé municipal recevait à peine moins de courriels malveillants que les employés des ministères, avec une moyenne de 2 140 courriels malveillants chaque année. Apprenez-en davantage à ce sujet ci-dessous l’analyse des e-mails malveillants envoyés aux services gouvernementaux (ou cliquez ici).

Principales conclusions

  • Les employés du gouvernement ont reçu en moyenne 2 399,41 e-mails malveillants chacun en 2021
  • 258 organisations gouvernementales ont reçu environ 2,69 milliards d'e-mails malveillants en 2021
  • En moyenne, 0,32 % des e-mails malveillants ont été ouverts par le personnel en 2021, ce qui signifie que 8,62 millions d'e-mails malveillants ont été potentiellement ouverts par le personnel du gouvernement.
  • Parmi ceux ouverts, 0,67 pour cent de ces e-mails malveillants ont conduit les membres du personnel à cliquer sur des liens suspects = 57 736

Selon les données historiques fournies par certains gouvernements dans nos demandes de FOI, 2018 et 2019 ont vu une augmentation moyenne des e-mails malveillants de 24,5 %. Puis, de 2019 à 2020, ce chiffre a grimpé à un peu plus de 146 pour cent. De 2020 à 2021, ce taux a de nouveau ralenti pour atteindre un peu plus de 16 pour cent.



Il n’est peut-être pas surprenant que la plus forte augmentation coïncide avec la pandémie et avec la plupart des personnes travaillant à domicile (et les e-mails étant donc leur principal moyen de communication).

Même si le ralentissement de la croissance l’année dernière peut sembler une tendance légèrement encourageante, cela ne signifie pas nécessairement que les gouvernements sont moins menacés. Comme notre carte mondiale récente des ransomwares a indiqué – les ministères gouvernementaux ont été témoins d’une augmentation des attaques de ransomwares au cours de l’année dernière.

Il est également important de noter que les ministères qui reçoivent de gros volumes d’e-mails malveillants ne sont pas nécessairement des cibles plus importantes pour les pirates informatiques et ne disposent pas nécessairement de systèmes de sécurité « plus faibles ». Au contraire, leurs systèmes informatiques sont peut-être plus efficaces pour filtrer les e-mails malveillants. De même, comme indiqué dans la section Méthodologie et limites, les systèmes informatiques peuvent différer dans leur suivi et leur calcul des volumes de courriers malveillants.

Départements gouvernementaux avec le plus grand volume d'e-mails malveillants

Selon les demandes de FOI soumises (et dans lesquelles les données ont été fournies), les ministères suivants ont reçu les courriels les plus malveillants :

  1. Gouvernement d'Irlande du Nord : 833,7 millions d'e-mails malveillants reçus par 24 122 collaborateurs = 34 561 e-mails par employé.(Remarque : le système de messagerie du gouvernement d'Irlande du Nord est géré via les services numériques partagés (DSS) du ministère des Finances. DSS fournit des services d'infrastructure informatique à tous les départements gouvernementaux de NI, au bureau NI et à certaines organisations publiques plus larges. C'est pourquoi l'employé le chiffre ici est basé sur le nombre de fonctionnaires en Irlande du Nord).
  2. NHS numérique : 357 millions d'e-mails malveillants reçus par 3 996 collaborateurs = 89 353 e-mails par employé.
  3. Réseau ferroviaire limité : 223,3 millions d'e-mails malveillants reçus par 44 356 salariés = 5 033 e-mails par employé.
  4. HM Revenue & Customs: 27,9 millions d'e-mails malveillants reçus par 67 267 collaborateurs = 415 e-mails par employé.

Ministères gouvernementaux ayant le taux le plus élevé d'e-mails par employé

14 ministères avaient également un taux de courriels malveillants par employé plus élevé que la moyenne. Les cinq premiers étaient :

  1. NHS Digital – 89 353 e-mails malveillants par employé : Comme vu ci-dessus, avec 357 millions d’e-mails malveillants reçus par un peu moins de 4 000 employés, chaque employé de NHS Digital reçoit plus de 89 000 e-mails par an. Cela représente environ 245 par jour.
  2. Gouvernement d'Irlande du Nord – 34 561 e-mails malveillants par employé : Les 24 122 employés de la fonction publique de NI reçoivent chacun plus de 34 500 e-mails malveillants par an.
  3. Financial Reporting Council – 25 992 e-mails malveillants par employé : Avec un rythme d'un peu moins de 8,5 millions d'e-mails par an et avec une petite équipe de 326 employés, chaque membre du personnel du Financial Reporting Council reçoit un peu moins de 26 000 e-mails malveillants par an.
  4. British Tourist Authority (VisitBritain/VisitEngland) – 7 941 e-mails malveillants par employé : En 2021, les 293 employés de la British Tourist Authority ont reçu 2,3 ​​millions d'e-mails malveillants. Bien que ce chiffre soit nettement inférieur aux trois premiers e-mails susmentionnés, cela équivaut tout de même à un peu plus de 7 900 e-mails malveillants par an.
  5. Network Rail Limited – 5 033 e-mails malveillants par employé et par an : Avec 44 356 employés, Network Rail doit surveiller un grand nombre de comptes de messagerie. Il avait enregistré 195,3 millions d'e-mails à la mi-novembre, ce qui équivaut à environ 223,3 millions pour l'année.

Même si bon nombre de ces e-mails seront probablement bloqués par les systèmes informatiques des départements, ces taux d’e-mails par employé nous donnent une idée de l’importance du nombre d’e-mails malveillants reçus par chaque service.

Pour connaître le nombre de courriels malveillants reçus par chaque gouvernement, veuillez consulter le tableau ci-dessous qui indique également si ce chiffre est estimé ou non.

Quelle est la fréquence des attaques de ransomware contre les ministères ?

Bien que nous ayons reçu un grand nombre de réponses à nos questions sur les courriels malveillants, de nombreux ministères ont refusé de divulguer des données sur les attaques de ransomwares, estimant que cela les rendrait plus vulnérables à de futures attaques.

Cependant, certains ministères ont divulgué des extraits d’informations intéressants.

En 2021, un ministère a révélé avoir détecté 97 attaques de ransomware en seulement 30 jours (dont aucune n’a abouti). 71 ministères étaient également heureux d’annoncer qu’ils n’avaient pas subi d’attaque de ransomware en 2021 (les autres – 187 – n’ont pas révélé s’ils l’avaient fait ou non). Seules deux organisations gouvernementales ont révélé avoir subi une attaque de ransomware réussie en 2021.

Une autre organisation gouvernementale a révélé avoir été victime d’une attaque de ransomware en 2020 tout en en bloquant 29 autres.

Quels risques les courriels malveillants posent-ils aux ministères ?

Les e-mails malveillants contiennent souvent des liens ou des pièces jointes qui, lorsqu’ils sont cliqués ou ouverts, donnent au pirate informatique l’accès à l’ordinateur de l’utilisateur ou lui permettent de télécharger des logiciels malveillants sur l’ordinateur, ce qui permet le vol et/ou le cryptage de données.

Lorsque des pirates informatiques accèdent aux données, cela peut entraîner de graves violations de données impliquant toute une série d'informations personnellement identifiables (PII).

Par exemple, un rapport récent a constaté que le Service des prisons et de probation de Sa Majesté (HMPPS) a enregistré 2 152 violations de données sur une période d’un an. Bien que le HMPPS ne nous ait fourni aucune donnée, nos estimations suggèrent qu’avec un peu plus de 63 000 membres du personnel, l’organisation aurait pu recevoir jusqu’à 151 millions d’e-mails malveillants en 2021.

UK Research and Innovation (UKRI) divulgué qu'il avait subi une attaque de ransomware en janvier 2021 (confirmé dans notre demande FOI). Cela suggère que même si les pirates ont chiffré les données, ils ont pu les récupérer rapidement (sans payer de rançon). Il a également laissé entendre qu'il n'avait aucune raison de croire que des données avaient été volées.

Bien que l’UKRI ait divulgué son attaque de ransomware, elle n’a pas divulgué le nombre d’e-mails malveillants qu’elle reçoit chaque année. Mais nous estimons que cela pourrait être de l’ordre de 19 millions.

Alors, comment ces chiffres se comparent-ils lorsque l’on regarde les conseils municipaux d’Angleterre ?

Le personnel de la mairie anglaise reçoit 2 140 e-mails malveillants chaque année

Les employés des conseils municipaux anglais ont reçu chacun 2 140 e-mails malveillants en 2021. Sur un peu plus de 320 conseils municipaux anglais, nous estimons que 655 038 employés des conseils municipaux ont reçu un total de 2,1 milliards d'e-mails malveillants en 2021.

Les e-mails malveillants sont définis comme des logiciels malveillants (y compris les ransomwares), du phishing et des spams.

Principales conclusions

  • Les employés du conseil municipal d'Angleterre ont reçu chacun en moyenne 2 140 e-mails malveillants en 2021.
  • 322 conseils municipaux anglais ont reçu environ 2,1 milliards d'e-mails malveillants en 2021
  • En moyenne, 1,79 % des e-mails malveillants ont été ouverts par le personnel en 2021, ce qui signifie que 37,5 millions d'e-mails malveillants ont été potentiellement ouverts par le personnel municipal.
  • Parmi ceux ouverts, 0,99 % de ces e-mails malveillants ont amené les membres du personnel à cliquer sur des liens suspects = 371 493 e-mails

Selon les données fournies par les conseils, 2021 n’a probablement pas été la pire année en matière d’e-mails malveillants. Au contraire, tout comme ce fut le cas pour les ministères, 2020 a été une année extraordinaire pour les courriels malveillants. Coïncidant avec la pandémie et le fait que de nombreux employés se tournent vers le courrier électronique pour communiquer, les chances des pirates informatiques de déclencher une tentative réussie de courrier électronique malveillant ont augmenté.

Nos statistiques indiquent que les volumes d’e-mails malveillants ont augmenté d’un peu plus de 25 % entre 2018 et 2019 et de près de 16 % entre 2019 et 2020. Puis, l’année dernière, les niveaux d’e-mails malveillants ont chuté d’un peu plus de 31 %.

Conseils avec le plus grand volume d'e-mails malveillants

Selon les demandes de FOI soumises (et dans lesquelles les données ont été fournies), les conseils suivants ont reçu les e-mails les plus malveillants :

  1. Conseil du comté de Lancashire : 915,5 millions d'e-mails malveillants reçus par 12 927 salariés = 70 823 e-mails par employé.
  2. Conseil du Buckinghamshire : 67,2 millions d'e-mails malveillants reçus par 4 065 salariés = 16 537 e-mails par employé.
  3. Conseil d'arrondissement de Blackpool : 41,7 millions d'e-mails malveillants reçus par 2 618 salariés = 15 909 e-mails par employé.
  4. Conseil du comté de Suffolk : 40,7 millions d'e-mails malveillants reçus par 5 276 collaborateurs = 7 720 e-mails par employé.
  5. Conseil du district de l'ouest du Lancashire : 35,4 millions d'e-mails malveillants reçus par 501 employés = 70 823 e-mails par employé (il existe un système de messagerie pour le conseil du comté de Lancashire et le conseil de district de West Lancashire).

Conseils avec le taux d'e-mails par employé le plus élevé

26 communes avaient également un taux de courriels malveillants par employé plus élevé que la moyenne. Les cinq communes ayant le taux le plus élevé étaient :

  1. Conseil du comté de Lancashire et conseil de district de West Lancashire – 26 652 e-mails malveillants par employé : Le système informatique combiné des communes a reçu 951 012 705 e-mails malveillants sur une période de 12 mois. Avec respectivement 12 927 et 501 employés, cela équivaut à une moyenne de 70 823 e-mails malveillants par employé et par an.
  2. Conseil du district du Buckinghamshire – 16 537 e-mails malveillants par employé : Avec un peu plus de 67 millions d'e-mails malveillants par an et 4 065 employés, chaque employé du conseil de district du Buckinghamshire reçoit environ 16 537 e-mails malveillants par an.
  3. Conseil d’arrondissement de Great Yarmouth – 15 957 e-mails malveillants par employé : Recevant environ 500 000 e-mails malveillants par mois, les 376 employés du Great Yarmouth Borough Council reçoivent environ 6 millions d’e-mails malveillants par an, soit un peu moins de 16 000 chacun.
  4. Blackpool Borough Council – 15 909 e-mails malveillants par employé : Les 2 618 employés de Blackpool reçoivent chaque année 41,7 millions d’e-mails malveillants, soit un peu moins de 16 000 chacun.
  5. Medway Council – 7 994 e-mails malveillants par employé : 21,9 millions d'e-mails malveillants sont reçus chaque année par 2 740 employés du Medway Council, ce qui équivaut à 7 994 e-mails malveillants chacun.

Même si bon nombre de ces e-mails seront probablement bloqués par les systèmes informatiques des communes, ces taux d’e-mails par employé nous donnent une idée de l’importance du nombre d’e-mails malveillants reçus par chaque commune.

Pour connaître le nombre de courriels malveillants reçus par votre commune, veuillez consulter le tableau ci-dessous qui indique également si ce chiffre est estimé ou non.

Quelle est la prévalence des attaques de ransomware dans les conseils municipaux anglais ?

Comme c’est le cas des ministères, de nombreux conseils n’étaient pas disposés à partager des données sur les attaques de ransomwares, invoquant des raisons de sécurité. Mais à partir des données fournies, nous pouvons tirer des conclusions intéressantes.

Un conseil a révélé qu'il avait bloqué plus de 426 000 attaques de ransomwares en un peu moins de 4 ans, tandis qu'un autre en avait bloqué 300 en 49 semaines. D'autres ont suggéré qu'ils n'avaient eu à en bloquer aucun et seulement deux ont révélé avoir été victimes d'une attaque de ransomware en 2021. Cela pourrait indiquer que certains conseils sont beaucoup plus ciblés que d'autres, ou que les systèmes informatiques ne sont pas capables de différencier les autres. de quelque chose comme un spam et une attaque de ransomware.

Quels risques les courriels malveillants posent-ils aux municipalités ?

Le mois dernier il a été révélé que Redcar et le Cleveland Borough Council ont dû divulguer quatre violations graves de données au Bureau du commissaire à l’information (ICO) en 2021. Et cela fait suite à une cyberattaque en février 2020 dont la rectification a coûté 8,7 millions de livres sterling.

Selon la demande de FOI soumise à ce conseil, ils reçoivent environ 250 000 emails malveillants par an. Avec 2 121 employés, cela représente environ 118 e-mails malveillants par membre du personnel et par an.

Ailleurs, le Conseil de Hackney a subi une catastrophe dévastatrice attaque de rançongiciel en 2020, ce qui a paralysé ses systèmes et vu des données personnelles publiées sur le dark web. UN audit récent a constaté que l'attaque avait coûté au conseil environ 10 millions de livres sterling. Bien que le Hackney Council ne divulgue pas son volume d’e-mails malveillants via notre demande FOI, nos estimations suggèrent qu’il reçoit environ 9,88 millions d’e-mails malveillants par an.

Méthodologie et limites

Notre équipe de recherche a soumis des demandes d'accès à l'information à 471 ministères gouvernementaux à travers le Royaume-Uni. (selon cette liste ) et 331 conseils d'Angleterre ( selon cette liste ).

Certains ministères n’étaient pas soumis aux demandes de FOI, les coordonnées n’étaient pas disponibles, il s’agissait d’une petite commission ou société composée de membres mais pas d’employés, ou n’avaient pas de chiffres d’effectifs disponibles – auquel cas, ils ont été supprimés.

Pour les conseils anglais, certains ont combiné ou partagé des services informatiques et ont donc été inclus ensemble, par ex. Conseils de district de Babergh et Mid Suffolk. Seuls cinq conseils ont été supprimés en raison du manque de données (à savoir le nombre d'employés) : le Conseil commun de la ville de Londres, le Conseil des îles Scilly, le Conseil d'arrondissement de Newcastle-Under-Lyme, le Conseil de Somerset West et de Taunton, et le conseil de district du Staffordshire Moorlands.

Bien que chaque ministère et conseil gouvernemental ait reçu la même demande de FOI, le logiciel en place peut différer. Cela signifie que le nombre d'e-mails malveillants identifiés (et potentiellement bloqués) au sein de chaque entité gouvernementale et conseil peut être différent. Et, comme mentionné précédemment, les services recevant de gros volumes ne sont peut-être pas plus ciblés par les e-mails malveillants, mais peuvent être plus à même de les identifier.

Dans certains cas, les chiffres n'étaient disponibles que pour certaines périodes, par ex. 30 jours ou 90 jours. Lorsqu'il était fourni de cette manière, le chiffre était extrapolé pour obtenir un chiffre annuel. Lorsqu’aucun chiffre n’a été fourni, nous avons utilisé la moyenne par employé de tous les ministères et conseils gouvernementaux qui ont soumis des chiffres (2 399,41 ou 2 139,69 respectivement) pour créer une estimation. Ceux-ci sont identifiés dans les tableaux.

Les chiffres d'effectifs les plus récents et les plus précis disponibles ont été utilisés. Dans quelques cas, les ministères n’ont cité que des chiffres comme « plus de 1 500 » employés. Dans la mesure du possible, nous avons utilisé l'effectif officiel, mais certains ne fournissent que le nombre d'employés équivalents temps plein. Toutefois, ce chiffre a tendance à être inférieur à l'effectif officiel et évite donc les chiffres surestimés.

Dans le cas du gouvernement d'Irlande du Nord, le système de courrier électronique est géré via les services numériques partagés (DSS) du ministère des Finances. DSS fournit des services d'infrastructure informatique à tous les ministères du gouvernement d'Irlande du Nord, au bureau d'Irlande du Nord et à certaines organisations du secteur public plus large. Par conséquent, nous n’avons inclus aucun département distinct d’Irlande du Nord, à moins qu’un chiffre distinct n’ait été fourni ou qu’ils aient confirmé qu’ils possèdent leur propre système informatique.

Seuls 27 départements gouvernementaux et 22 conseils nous ont fourni suffisamment de données historiques pour pouvoir comparer l'augmentation d'une année sur l'autre des volumes d'e-mails malveillants.

Chercheurs de données :Charlotte Bond, Rebecca Moody

^