Le pic des attaques stimule le marché cyber

Après les mises en garde de ces dernières années, les opérateurs sont appelés à renforcer leurs lignes de défense  contre les attaques. Les entreprises de la cyber sont sous pression.

Coup de chaud dans la principauté. Les participants aux 23es Assises de la cybersécurité, à Monaco, prévoient en effet une période à haut risque qui obligera les acteurs de la cyber à faire rapidement preuve d’un peu plus d’efficacité en matière de lutte contre les hackers. Ils auront fort à faire face à l’hydre du piratage informatique.

Les récentes cyberattaques à Las Vegas (États-Unis) leur en ont donné un avant-goût. L’histoire est digne du film Ocean’s Eleven. Des hackers s’en sont pris au groupe d’hôtels-casinos Caesars Entertainment en lui dérobant 6 000 Go de données personnelles issus de son programme de fidélité, puis à son concurrent MGM Resorts en enrayant tout le système informatique du MGM Grand, ses machines à sous, ses distributeurs de billets et même les clés magnétiques de ses 6 800 chambres.

Tandis que le premier a déboursé 15 millions de dollars pour récupérer les précieuses informations, le second a refusé de payer la rançon mais a subi les dommages causés par dix jours de chaos dans son informatique. Pour s’infiltrer, les cybercriminels ont revendiqué qu’il leur avait suffi d’un coup de téléphone en se faisant passer pour un employé de l’établissement.

Pas toujours aussi spectaculaires, d’autres attaques inquiétantes se multiplient dans des proportions inédites. Une cyberattaque en particulier illustre l’ampleur du phénomène. En mars dernier, un groupe
de hackers est parvenu à localiser une brèche dans le système informatique d’un petit concessionnaire BMW, indépendant juridiquement du constructeur automobile. Une intrusion informatique qui s’est soldée par la diffusion de données internes à l’entreprise telles que documents clients, contrats, marketing…

La crainte d’un « Big One » cyber est dans les esprits. Le général Jean-Philippe Lecouffe, directeur des opérations à Europol, rappelle la place éminente qui doit être faite à la coopération de l’ensemble de l’écosystème de la cybersécurité dans la stratégie européenne.

Les PME et ETI, plus fragiles face aux menaces

Même à coups de réglementations et d’injonctions, les incitations répétées des autorités et des professionnels de la cyber appelant à renforcer la protection informatique ne suffisent pas toujours. Confrontés à des as de l’exfiltration de données, « les directeurs des systèmes d’information et responsables de la sécurité des systèmes d’information [RSSI] auront une tâche de plus en plus difficile dans les prochaines années », prévient Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (Anssi).

Dans le secteur privé en particulier, la stratégie consiste à pousser toujours plus les entreprises à mettre à jour leurs mesures de protection. « L’État n’y arrivera pas tout seul. Dans la banque, la santé, les services numériques… il va donc falloir que les entreprises s’y mettent aussi », martèle le patron de l’Anssi.

À en croire le dernier rapport du cabinet d’études Wavestone, les grands comptes l’ont plutôt
bien compris. En revanche, les ETI et les PME investissent encore insuffisamment dans
la cybersécurité et sont donc sous le feu des attaques et des critiques. « On observe beaucoup plus d’attaques réussies contre les petites structures que contre les grands groupes », constate Wavestone.

Dans ce secteur, les chiffres sont édifiants. Un quart seulement des PME françaises suivent les référentiels de sécurité ISO 27001/2 et NIST. En 2022, 73 % d’entre elles ont subi des attaques par ransomware
(soit 8 points de plus qu’en 2021). Moins de 2 000 organisations, entreprises et collectivités, ont sollicité cette année-là l’assistance de la police ou de la gendarmerie après une attaque.

Cette faiblesse de la résistance les met en situation critique. Une PME sur deux fait faillite dans les dix-huit mois qui suivent une cyberattaque. De quoi se préparer « des nuits blanches, des migraines et des nervous breakdown », pour paraphraser Michel Audiard.

Recruter des spécialistes cyber ou faire appel aux MSSP

Le risque est d’autant plus grand que ces entreprises peinent à investir dans le recrutement de spécialistes cyber ou le recours à des prestataires en sécurité (voir encadré). En moyenne, le secteur des PME fait travailler un professionnel de la cybersécurité pour 3 000 salariés. Au global, les entreprises françaises auront consacré 4,6 % de leur budget informatique aux questions de cybersécurité.

Le message prônant qu’un euro investi en la matière est toujours un euro qui rapporte a visiblement du mal à passer. « Choisir un RSSI s’apparente à la recherche d’un mouton à cinq pattes », reconnaît Alain Bouillé, délégué général du Cesin.

Il y a pourtant urgence. La directive NIS 2 adoptée par l’Union européenne, qui sera transposée en 2024, prévoit d’élargir le périmètre des entités « sensibles » qui devront renforcer leur cybersécurité. Plus de 15 000 structures pourraient bientôt être concernées, soit 10 % des PME et 1 % des TPE.

À défaut de disposer de la main-d’œuvre spécialisée, ces organisations pourront toujours s’adresser aux MSSP afin de bénéficier de leurs services. Un accompagnement qui s’avère indispensable, par exemple pour mener des diagnostics de sécurité chez le client.

« L’effort à fournir pour rehausser collectivement le niveau de cybersécurité se chiffre à une centaine de millions d’euros par an »

Vincent Strubel, directeur général de l’Anssi

Les techniciens MSSP ont un rôle essentiel à jouer comme tiers de confiance dans la défense contre des cybercriminels capables de s’adapter à la montée en puissance des solutions EDR, en tentant de les contourner – en attendant que l’intelligence artificielle leur donne d’autres moyens inédits de frapper.

Cet effort général pour se prémunir contre la menace de cyberattaques concerne également les entreprises de l’IT. Celles-ci sont « parfois à l’origine de failles de sécurité béantes par négligence et dont jusqu’ici elles n’en étaient pas tenues responsables », a pointé du doigt Jean-Noël Barrot, ministre délégué à la Transition numérique, durant son discours à l’assemblée générale 2023 du Cigref.

Les États-Unis ont initié le changement de paradigme en rééquilibrant la responsabilité du risque d’attaques sur les éditeurs de logiciels. En Europe, le Cyber Resilience Act introduira de nouvelles normes de sécurité qui concerneront tous les produits intégrant des éléments numériques. Les entreprises du numérique sont prévenues. À l’avenir, la non-application de correctifs de sécurité pourrait leur coûter cher.