Après deux années noires sur le front du risque cyber, pandémie oblige, les spécialistes redoutent encore une explosion des menaces, toujours plus sophistiquées et compliquées à débusquer. Nouvelles parades et stratégies de lutte se développent. Explications.

Un bilan 2021 entre ransomwares et failles logicielles

Hôpitaux, collectivités, entités publiques, entreprises privées de toutes tailles… En 2021, les cybercriminels ont fait feu de tout bois. En particulier avec la technique du ransomware. Objectif : crypter les données pour paralyser l’activité, et exiger le paiement d’une rançon qui promet un retour à la normale. 

Dans son baromètre Orange Cyberdéfense, paru en décembre 2021, l’opérateur indique que, l’année dernière, les entreprises ont connu 13 % de cyberattaques de plus que l’année précédente. Ainsi, le nombre moyen de cyberattaques avérées par entreprise s’élevait à 42 par mois sur les dix premiers mois de 2021, contre 37 sur la même période en 2020. Les petites entreprises seraient particulièrement vulnérables. Selon Orange Cyberdéfense, «75 % des victimes de ransomwares sont désormais de petites et moyennes entreprises qui manquent de ressources dédiées ». 

Si le phénomène n’épargne plus personne, 2021 a cependant été marquée par des attaques retentissantes mettant en lumière d’importantes vulnérabilités. SolarWinds, Microsoft Exchange, PrintNightmare, Log4j, Kaseya : des failles de sécurité majeures ont été mises au jour chez ces cinq éditeurs de logiciels. La conséquence : des cyberattaques en cascade, en particulier par ransomwares et malwares, chez une multitude de leurs clients. 

Les analystes estiment que plus de 50 vulnérabilités dans des logiciels (et pas uniquement ceux précités !) ont été découvertes quotidiennement en 2021. 

Ransomwares et attaques de la supply chain jalonneront 2022

Un peu de prospective. Pour son baromètre des risques 2022, l’assureur Allianz a interrogé 2 650 expertes et experts dans 89 pays. Pour 44 % d’entre eux, les incidents cyber occupent la première marche du podium des principales menaces identifiées qui pèsent sur l’activité des entreprises. Le ransomware n’aurait pas fini de faire parler de lui. Et d’importantes attaques visant les supply chains (chaînes d’approvisionnement) seraient à craindre. 

En exploitant par exemple des failles logicielles (qui, malgré les nombreux correctifs apportés, contiendraient encore des maillons faibles), les cybercriminels cherchent à dérober des données, extorquer des fonds et/ou à désorganiser des pans entiers d’activités. Selon les conclusions de l’enquête « Global Security Attitude Survey » publiée par CrowdStrike pour l’année 2021, plus des trois quarts des responsables IT interrogés (77 %) admettent avoir subi une attaque visant leur supply chain, tandis que 84 % craignent que ce type d’agression devienne une menace majeure au cours des années à venir.

Plus inquiétant, de nombreux analystes s’accordent à dire que les ransomwares seront plus redoutables en 2022. Avec ce que les spécialistes appellent désormais la double extorsion. Le principe : les hackers ne se contentent plus de chiffrer les données dans l’attente du paiement d’une rançon, ils menacent maintenant de les divulguer publiquement, ou de les vendre en faisant monter les enchères ! 

Autres menaces à considérer qui pourraient prendre de l’ampleur : l’intrusion des sociétés de cyberespionnage dans les systèmes d’information des entreprises et des attaques via le cloud. 

Enfin, l’invasion de l’Ukraine par la Russie, le 24 février 2022, fait aussi craindre le pire sur le terrain cyber. Les hackers russes, mandatés ou non par le Kremlin, sont connus de longue date pour leur agressivité et leurs capacités de nuisance. L’inquiétude des pays européens est encore montée d’un cran.

Budgets cyber à la hausse et équipes entraînées au risque

Les appétits des cybercriminels ont beau être toujours plus aiguisés, les entreprises tentent d’organiser la contre-attaque. C’est notamment ce que révèle le baromètre annuel OpinionWay – Cesin (Club des experts de la sécurité de l’information et du numérique) paru en janvier 2022. Pour cette enquête, 282 directeurs et directrices Cybersécurité et responsables Sécurité des Systèmes d’Information (RSSI) de grandes entreprises françaises ont été interrogés. 

D’abord, l’augmentation des budgets alloués à la cybersécurité (70 % des entreprises confirment cette tendance, contre 57 % en 2020) est un signe que les entreprises prennent le sujet à bras le corps. 44 % d’entre elles consacrent plus de 5 % du budget IT/digital à la cybersécurité. Elles sont aussi 56 % à vouloir allouer plus de ressources humaines à leur organisation. 

Ensuite, la stratégie est d’impliquer toujours plus les collaborateurs et collaboratrices de tous les services, un vecteur important en matière de risques. Quatre entreprises sur dix ont, en effet, eu recours à des programmes d’entraînement à la crise cyber, une donnée nouvelle dans le baromètre Cesin. 47 % des dirigeants ont pour projet de mettre en place de tels entraînements. En 2022, l’humain sera l’un des leviers incontournables de la résilience cyber.

Solutions techniques de pointe et stratégies réinventées

Sur un plan plus technique, les solutions de sécurité qui viennent en complément des antivirus traditionnels sont plébiscitées. Le Cesin constate « une forte adoption de l’authentification multifactorielle, une nette progression des EDR (+17 % en un an) et une plus grande généralisation des solutions de chiffrement (en augmentation de 7 points) ». L’EDR (Endpoint Detection and Response) désigne une technologie logicielle émergente de détection des menaces de sécurité informatique des équipements numériques (ordinateurs, serveurs, tablettes, objets connectés, etc.) capable de bloquer davantage d’attaques. 

2022 devrait également être marquée par un changement de paradigme : être proactif plutôt que subir. Ainsi, l’assureur Allianz (dans son baromètre des risques 2022) considère qu’il convient d’« améliorer les technologies de contrôle des systèmes, d’apporter des correctifs de sécurité en continu, d’entraîner et sensibiliser les équipes, d’adopter des plans de continuité et de structurer sa réponse aux attaques ». 

L’éditeur Genetec va plus loin. Pour lui, 2022 pourrait bien voir l’apparition d’un modèle de cybersécurité entièrement nouveau, fondé sur la vérification continue plutôt que sur le simple renforcement des réseaux et des systèmes. Les entreprises devraient opter pour davantage d’automatisation dans les systèmes de détection, pour rester continuellement à l’affût des menaces, et pouvoir réagir plus tôt. 

Et pour tenter de sécuriser la chaîne d’approvisionnement, de nombreux analystes considèrent que de nouvelles réglementations, normes et certifications pourraient voir le jour afin de s’assurer que tous les acteurs d’une même supply chain répondent à de hauts standards de sécurité communs. 

L’heure est décidément à une offensive multi solution sur le front cyber ! 

Pour 44 % des 2 650 experts interrogés dans 89 pays, les incidents cyber occupent la première marche du podium des principales menaces indentifiées qui pèsent sur l’activité des entreprises.

Baromètre Allianz 2022 des risques cyber

Lire aussi

Cybersécurité : quel est le niveau
des entreprises françaises ?

Technologie & Systèmes
10 mai 2022

Le constat du cabinet Wavestone, acteur majeur du conseil en France, est sans appel : les entreprises françaises ont progressé dans leur préparation au risque cyber, mais l’effort global reste insuffisant. En mars 2022, le spécialiste de la transformation des organisations publie un baromètre évaluant les entreprises françaises face aux…

« Si l’humain continue de constituer une faille,
il y aura toujours un trou dans la raquette
en matière de cybersécurité »

image de plusieurs cadenas digital
Technologie & Systèmes
26 avril 2022

Pour Aurélie Luttrin, qui accompagne entreprises et collectivités dans la sécurisation de leur transformation digitale, l’humain doit plus que jamais être placé au cœur des stratégies de cybersécurité. À condition de rectifier certains travers, et de développer des compétences indispensables. Interview. En septembre 2021, vous avez signé une tribune titrée…

Cybersécurité : qu’est-ce que le Campus Cyber ?

Technologie & Systèmes
19 avril 2022

Inauguré le mardi 15 février 2022, le tout nouveau Campus Cyber a élu domicile aux portes de Paris, et plus précisément dans la tour Eria à La Défense. Dessinée par l’architecte Christian de Portzamparc, cette immense tour de 13 étages peut se vanter de réunir tous les acteurs de la…