Cybersécurité : à quoi faut-il s’attendre en 2022 ?

Ransomwares et attaques de la supply chain jalonneront 2022

Un peu de prospective. Pour son baromètre des risques 2022, l’assureur Allianz a interrogé 2 650 expertes et experts dans 89 pays. Pour 44 % d’entre eux, les incidents cyber occupent la première marche du podium des principales menaces identifiées qui pèsent sur l’activité des entreprises. Le ransomware n’aurait pas fini de faire parler de lui. Et d’importantes attaques visant les supply chains (chaînes d’approvisionnement) seraient à craindre. 

En exploitant par exemple des failles logicielles (qui, malgré les nombreux correctifs apportés, contiendraient encore des maillons faibles), les cybercriminels cherchent à dérober des données, extorquer des fonds et/ou à désorganiser des pans entiers d’activités. Selon les conclusions de l’enquête « Global Security Attitude Survey » publiée par CrowdStrike pour l’année 2021, plus des trois quarts des responsables IT interrogés (77 %) admettent avoir subi une attaque visant leur supply chain, tandis que 84 % craignent que ce type d’agression devienne une menace majeure au cours des années à venir.

Plus inquiétant, de nombreux analystes s’accordent à dire que les ransomwares seront plus redoutables en 2022. Avec ce que les spécialistes appellent désormais la double extorsion. Le principe : les hackers ne se contentent plus de chiffrer les données dans l’attente du paiement d’une rançon, ils menacent maintenant de les divulguer publiquement, ou de les vendre en faisant monter les enchères ! 

Autres menaces à considérer qui pourraient prendre de l’ampleur : l’intrusion des sociétés de cyberespionnage dans les systèmes d’information des entreprises et des attaques via le cloud. 

Enfin, l’invasion de l’Ukraine par la Russie, le 24 février 2022, fait aussi craindre le pire sur le terrain cyber. Les hackers russes, mandatés ou non par le Kremlin, sont connus de longue date pour leur agressivité et leurs capacités de nuisance. L’inquiétude des pays européens est encore montée d’un cran.

Budgets cyber à la hausse et équipes entraînées au risque

Les appétits des cybercriminels ont beau être toujours plus aiguisés, les entreprises tentent d’organiser la contre-attaque. C’est notamment ce que révèle le baromètre annuel OpinionWay – Cesin (Club des experts de la sécurité de l’information et du numérique) paru en janvier 2022. Pour cette enquête, 282 directeurs et directrices Cybersécurité et responsables Sécurité des Systèmes d’Information (RSSI) de grandes entreprises françaises ont été interrogés. 

D’abord, l’augmentation des budgets alloués à la cybersécurité (70 % des entreprises confirment cette tendance, contre 57 % en 2020) est un signe que les entreprises prennent le sujet à bras le corps. 44 % d’entre elles consacrent plus de 5 % du budget IT/digital à la cybersécurité. Elles sont aussi 56 % à vouloir allouer plus de ressources humaines à leur organisation. 

Ensuite, la stratégie est d’impliquer toujours plus les collaborateurs et collaboratrices de tous les services, un vecteur important en matière de risques. Quatre entreprises sur dix ont, en effet, eu recours à des programmes d’entraînement à la crise cyber, une donnée nouvelle dans le baromètre Cesin. 47 % des dirigeants ont pour projet de mettre en place de tels entraînements. En 2022, l’humain sera l’un des leviers incontournables de la résilience cyber.