L’inexorable hausse des cyberattaques
Le nombre des attaques progresse de près de 40 % par rapport à 2021. En alerte maximale depuis le conflit en Ukraine, l’Anssi exhorte les entreprises à relever leur niveau l’engagement dans la sécurité.
Nov 2022Par Thierry Bienfait, à Monaco
Contexte de crise aux XXIIes Assises de la sécurité et des systèmes d’information : l’année 2023 risque fort d’être à hauts risques pour les entreprises de toute taille. Selon les experts à la tribune de l’événement, le niveau des cyberattaques serait historiquement élevé. D’après leurs estimations, il avoisinera + 40 % en 2022, « soit le plus haut niveau depuis les cinq dernières années », souligne l’un de ces spécialistes. Une intensification observée également par la Cnil, qui enregistrait déjà en 2021 quelque 2 200 notifications d’attaque.
Guillaume Poupard, directeur général de l’Anssi, parle, lui, de logique de guerre, en appelant les DSI dans les secteurs public et privé à tenir compte des enseignements du conflit en Ukraine. « Il est urgent que nous en tirions les leçons sur l’organisation de la cybersécurité de nos entreprises et administrations. Nous devons les équiper mieux et plus vite, en nous alliant avec l’écosystème de la sécurité », a-t-il martelé. Il explique qu’en temps de guerre dans le cyberespace, on ne doit pas s’attendre qu’à des attaques motivées par l’appât du gain.
« Outre les actes malveillants à finalité lucrative, il faut compter sur un taux grandissant d’actes de déstabilisation, d’espionnage industriel, de vol des données critiques ou de sabotage, aux conséquences bien plus profondes que les attaques par ransomware. Plus que jamais, il convient de s’interroger sur la fragilité de nos infrastructures numériques, sur notre capacité à nous doter et à utiliser des outils de sécurité absolument sûrs ou efficients. Personne ne comprendra qu’en temps de guerre dans l’espace cyber, il faille encore attendre un meilleur moment avant d’investir pour mieux se défendre des attaques, insiste Guillaume Poupard. J’attends donc que l’écosystème de la cybersécurité se mobilise et réfléchisse aux moyens de sensibiliser davantage les entreprises et les administrations. La réflexion doit porter aussi bien sur les réponses software et hardware à apporter, la simplicité d’utilisation, les services d’audit, de conseil, d’analyse et de formation, l’accompagnement et le suivi sans la durée. Les industriels du cyber doivent être au rendez-vous et les organisations prêtes à faire un effort budgétaire sans précédent. »
« Il faut s’interroger sur notre capacité à nous doter et à utiliser des outils de sécurité sûrs ou efficients »
Guillaume Poupard, directeur général de l’ANSSI
Quel sera le prix de cet effort ? Les entreprises accepteront-elles de le payer dans une période inflationniste ?
LE PRIX DU DANGER N’EST PAS LE MÊME POUR TOUT LE MONDE
« Se protéger suffisamment coûte cher, admet le directeur général de l’Anssi, qui souligne qu’une cyberattaque est plus onéreuse pour les victimes. Tout ne se mesure pas en termes de dépenses. On constate, par exemple, que la plupart des entreprises attaquées rognent après l’événement leurs budgets d’innovation. Une bonne cyberdéfense peut changer la donne pour les grands comptes, les établissements publics et les administrations gouvernementales ou territoriales, ainsi que pour les PME, TPE et ETI. »
Les plus petites structures constituant l’essentiel des victimes. « Les affaires marchent bien, se réjouit un exposant partenaire des Assises, qui préfère ne pas s’exprimer sous son nom. D’après les estimations de nos analystes, les dépenses en sécurité informatique dépasseront les 150 Mds € en 2022 dans le monde. »
« À ce stade, le nombre d’attaques cyber provenant de la Russie n’a pas encore évolué. Mais ce calme pourrait n’être que provisoire. »
Christian-Marc Lifländer, chef de la Section cyberdéfense de l’OTAN
En France, l’aggravation de la menace aurait poussé les deux tiers des sociétés à augmenter leurs dépenses en termes de cybersécurité en 2022. Cependant, les différences sont notables entre les organisations qui y consacrent jusqu’à 15 % de leur budget IT, et celles qui y investissent moins de 1 %, d’après les chiffres d’une étude Wavestone. Pour accroître leur cyberrésilience, il y a donc du pain sur la planche… et des profits à la clé pour les professionnels. Selon IDC, la sécurité informatique dans notre pays représentera un marché de 4,7 Mds € en 2022, contre 4,3 Mds € en 2021. Car la gravité, la sophistication et la fréquence des cyberattaques ne cessent d’augmenter, « encore davantage depuis que le travail à distance s’est répandu, avec la porosité des systèmes d’information qui l’accompagne ».
Du côté du cloud, ses acteurs ont dû admettre que les plates-formes d’informatique en ligne n’étaient pas aussi invulnérables que leurs commerciaux l’ont laissé croire pendant longtemps.¹ Idem pour la 5G, la prolifération des objets connectés ou le recours à l’intelligence artificielle, ces technologies représentent aussi des failles potentielles à la menace cyber, « largement sous-évaluée par les entreprises », observe le cabinet Bessé, spécialiste du courtage et du conseil … en assurances.
Une foule de cas récents corroborent ce constat. Le Centre hospitalier sud-francilien, le département de la Seine-Maritime, Damart, Clestra Hauserman, Kaseya, Toyota ou Uber Technologies ont dernièrement subi des attaques d’ampleur. Et ce n’est là que la partie la plus visible de l’iceberg car les incidents cyber sont loin d’être tous divulgués. Les secteurs les plus affectés seraient ceux de l’informatique et de la technologie, les services, la finance et l’industrie manufacturière.
Parmi les vecteurs d’attaque les plus fréquents, l’exploitation de failles serait à l’origine de 53 % des entrées dans les systèmes − avec une utilisation de Zero Day en forte hausse −, selon un récent rapport du Cesin.2 Unanimes, les éditeurs en sécurité présents aux Assises recommandent la même parade : travailler avec des prestataires de proximité, parlant le même langage métier que leurs clients et disposant du savoir-faire pour renforcer les infrastructures… quoi qu’il en coûte.
1 Une étude de Palo Alto Networks révélait déjà en 2020 que plus de 2 000 instances cloud n’étaient pas sécurisées.
2 Cesin : Club des experts de la sécurité de l’information et du numérique.
(Source : Center for Strategic and International Studies, 2021)
L’ETAT À LA RESCOUSSE
En France, le nombre des cyberattaques critiques contre les entreprises et les administrations a quadruplé l’an dernier, selon les études. Dans ce contexte, le ministre délégué de la Transition numérique, Jean-Noël Barrot, a alerté sur les risques d’un cybercrash : « Ces risques restent insuffisamment pris en compte. » Les administrations publiques font partie des secteurs les plus touchés par les attaques ou les pannes (cumulant 16,5 % des incidents), et cela d’autant plus que leurs infrastructures se dématérialisent désormais rapidement. « Nous avons renforcé notre surveillance, mais nous ne sommes pas au bout de nos peines. »
L’État a déjà mis 1 Md € sur la table pour financer un plan de sécurisation des opérateurs d’importance vitale déployé depuis le début d’année 2021, complété par 20 M€ promis l’été dernier par le gouvernement, afin de limiter la vulnérabilité des hôpitaux face au risque cyber. Mais il n’est pas prévu que les PME et ETI françaises bénéficient des largesses étatiques. Or, aux dires des pros de la cyber, les parcs informatiques de ces entreprises sont souvent vieillissants et leurs budgets informatiques limités. À cela s’ajoute la difficulté de recruter des experts en cybersécurité en cette période de pénurie des talents. C’est là où le bât blesse le plus souvent. Une opportunité pour des MSSP dont le rôle apparaît indispensable au bon usage des solutions de sécurité.