LA TRIBUNE - Quelles sont les organisations les plus souvent victimes de cyberattaques ?

Thierry BOU, Orange Cyberdéfense - En tant que leader du marché français et européen on a une bonne vision de la situation. Il y a des cyberattaques plutôt a-spécifiques, c'est-à-dire qui ne ciblent pas de secteurs d'activités particuliers, mais on identifie aussi deux types de cibles prioritaires : les TPE-PME et l'ensemble de la sphère publique française.

Leur point commun c'est leur vulnérabilité et un enjeu de maturité par rapport au risque cyber qui n'est pas pris en compte suffisamment sérieusement. Pour les petites entreprises c'est d'abord une question de capacité humaine et financière insuffisante pour avoir la maîtrise de leur système informatique. Pour les acteurs publics, on est face à des acteurs protéiformes avec des administrations parfois très grandes et structurées et parfois très petites.

Lire aussiCyber, IA : les leçons de la guerre en Ukraine

Comment s'explique cette vulnérabilité ?

Le premier sujet pour ces acteurs c'est de prendre conscience qu'il y a un risque cyber bien réel qui peut avoir un impact sur le fonctionnement même de l'entreprise ou de la collectivité. Aujourd'hui, toutes les entreprises ont recours aux services numériques pour transformer leurs métiers et toutes les collectivités ont l'obligation de se mettre à la dématérialisation tant pour les services rendus aux citoyens que pour la facturation électronique. Toutes ces démarches augmentent de facto la surface d'exposition à une cyberattaque puisque les budgets dédiés à la sécurité informatique ne suivent pas la courbe croissante des budgets de transformation numérique. C'est cette déconnexion qui augmente d'autant la fragilité et la vulnérabilité des systèmes. Mais je regarde plutôt le verre plein : tout le monde ne prend pas le sujet à bras le corps mais, par rapport à il y a quelques années, nous ne sommes plus confrontés à du déni du risque cyber.

Quels sont les types d'attaques les plus fréquentes ?

Les deux grands vecteurs d'attaques les plus communs sont le phishing, le hameçonnage, par le biais d'un mail frauduleux et l'exploitation de vulnérabilités de systèmes informatiques qui ne sont pas mis à jour. Ce sont des failles qui sont le plus souvent évitables et qui peuvent être comblées de manière relativement simple. Cela passe par de la pédagogie et de la formation auprès des utilisateurs sur le principe « Ne pas cliquer » et par le recours à des entreprises de services managés qui s'assurent que le système est bien protégé. Le plus souvent ces attaques cherchent à exfiltrer des données détenues par l'organisation cible pour se les approprier et/ou les revendre à d'autres acteurs qui vont à leur tour les monnayer ou s'en servir pour d'autres attaques.

Mais les attaques les plus médiatisées sont souvent celles de type rançonlogiciel. Il s'agit d'implanter un logiciel malveillant dans un système d'information pour le chiffrer et le « kidnapper ». L'agresseur fait parfois miroiter une clé pour débloquer les données en échange d'une rançon. La position d'Orange Cyberdéfense est strictement la même que celle de l'Anssi (Agence nationale de la sécurité des systèmes d'information) : ne jamais payer une rançon à la suite d'une cyberattaque ! Cela reviendrait à alimenter le système délinquant sans aucune garantie de récupérer les données. Un quart de ces attaques de rançonlogiciel ciblent les organisations publiques.

Lire aussiLes entreprises, premières victimes des cyberattaques qui ont coûté 2 milliards d'euros à la France en 2022

De quel volume d'attaques parle-t-on ?

C'est assez compliqué à chiffrer parce qu'il faut compiler des données de sources très diverses et que toutes les victimes ne se signalent pas forcément. Ce qui est certain c'est que les attaquants cherchent la facilité et ciblent donc les structures les plus fragiles. Plus largement, on observe que le conflit russo-ukrainien, qui oppose deux acteurs majeurs de la cybermalveillance qu'elle soit étatique ou issue d'une nébuleuse, mobilise beaucoup de monde et de moyens de part et d'autre. Cela se traduit par une baisse relative du nombre de cyberattaques perpétrées sur notre sol même s'il faut bien sûr rester prudent puisque des attaques on en traite toutes les semaines chez Orange Cyberdéfense. Si on ne retient que les attaques qui ont réussi et qui ont nécessité une réponse ad hoc avec une cellule de crise, on est sur plusieurs centaines d'attaques par an en France ! Et il y aussi le risque de voir la menace évoluer.

Qu'entendez-vous par là ?

Face à l'évolution des défenses, les attaquants s'adaptent et élaborent des attaques plus sournoises, moins perceptibles. Ce sont des attaques qui peuvent ne pas être détectées par les entreprises et organisations tout simplement parce qu'elles n'entraînent pas de perturbations. Mais ces failles exploitées mais dormantes peuvent être utilisées à l'avenir. Ces intrusions n'impactent pas le service ni le fonctionnement mais elles ont bien eu lieu et on s'en rend compte parfois des mois après. Or, toute attaque a une finalité, il faut donc comprendre pourquoi même si l'organisation cible n'est pas paralysée. Dans ce cas de figure, on peut avoir affaire à des attaques en rebonds qui peuvent être problématiques, y compris pour les acteurs les mieux structurés face aux cyberattaques.

Lire aussiCybersécurité : Tehtris lève 44 millions d'euros pour devenir leader sur son marché

De quoi s'agit-il ?

Ce sont des attaques qui vont extraire des données d'une entreprise vulnérable dans le but de s'en servir pour infiltrer une organisation plus grande et mieux défendue. C'est un sujet important pour les grands donneurs d'ordre de l'aéronautique et de la défense et pour les grandes collectivités locales puisque les attaquants vont cibler les maillons de leur supply chain - sous-traitants, prestataires, fournisseurs, etc. - qui sont parfois des PME moins protégées. De ce point de vue, les PME de la supply chain aéronautique sont des cibles prioritaires. Pour diminuer ce risque, il faut donc diffuser une forme d'hygiène de cybersécurité tout au long de la supply chain.

Quel sont les conseils que vous pouvez donner à ces petits acteurs qui sont des cibles prioritaires ?

D'abord, c'est indispensable que le sujet de la cybersécurité soit porté réellement par le plus haut niveau de l'organisation : le maire ou le patron de la PME. Ensuite, il faut composer avec les moyens financiers mobilisables et les sujets à traiter de manière prioritaire. Nous sommes capables de capter les tendances des attaques les plus fréquentes au niveau mondial pour pouvoir orienter nos clients vers les défenses les plus efficaces. Ensuite, il faut fonctionner par étape : réaliser un audit pour évaluer le niveau d'exposition, créer une gouvernance de la sécurité et renforcer les dispositifs de sécurité : double authentification, réseau de sentinelles, etc. Il y a enfin un enjeu de mutualisation entre petits établissements, par exemple au sein des intercommunalités. Depuis trois ans, on développe aussi chez Orange Cyberdéfense une offre calibrée pour les PME et collectivités locales à partir de 50 utilisateurs. On travaille aussi sur les plus petites structures.

Lire aussiLe Campus Cyber, futur interlocuteur unique de la cybersécurité en Nouvelle-Aquitaine