De plus en plus d’entreprises fonctionnent désormais de manière hybride, avec des employés connectés partout et tout le temps, et chacun s’est acclimaté, dissipant la frénésie et l’incertitude des premiers instants. Une confiance dans le dispositif de sécurité a suivi, alors que les groupes de cybercriminels ont commencé à s’adapter à ces changements. Disposant d’une surface d’attaque plus importante, ils ont affiné leurs compétences, trouvant des stratagèmes et scénarios d’attaques de plus en plus affinés pour percer les défenses de l’organisation et lui extorquer ses données.
En marge du Forum International de la Cybersécurité qui se tenait à Lille début avril, le directeur général de l’ANSSI notait que, face à l’évolution de la cybercriminalité, « parler de crime organisé [n’était] pas le bon terme. Il s’agit de crime industrialisé ».
Le rapport State of the Phish 2023 montre que les attaques par courriel sont restées la principale menace pour les organisations, et en France, huit sur dix auraient subi au moins une attaque de phishing réussie l’an dernier. Par ailleurs, les techniques, adoptées par de plus en plus d’acteurs de la menace, se sont améliorées, entraînant des pertes financières directes. Parmi les entreprises interrogées, ces attaques auraient augmenté de 76 % au cours de l’année 2022. Les équipes de sécurité ne peuvent pas à elles seules faire barrage aux cybercriminels pour les empêcher d’infiltrer l’organisation. Tous les collaborateurs, à tous les échelons de l’entreprise, jouent un rôle dans la résistance aux attaques notamment par hameçonnage. La plupart des attaques ciblent les humains pour ensuite atteindre les systèmes informatiques.
Une formation imparfaite et non généralisée
Ces dernières années, les responsables de la sécurité des systèmes d’information (RSSI) ont reconnu le risque que représentent les environnements distants et hybrides, et ont accordé la priorité à la sécurisation de ces configurations depuis leur adoption généralisée en 2020. En plus de contrôles innovants et de nouvelles technologies, la formation des utilisateurs finaux est devenue la pierre angulaire de cette stratégie de défense. Cependant, peut-on dire que la sensibilisation et la compréhension de la sécurité ont évolué en conséquence ? La réponse courte est probablement non.
Bien que presque toutes les organisations aient mis en place un programme de formation, les recherches montrent qu’en France, seules 54 % des entreprises interrogées ont formé tous les membres de leur équipe, laissant près de la moitié mal équipée pour détecter et faire face aux cyber-menaces.
La bonne nouvelle est que la majorité des organisations françaises sondées ont déjà instauré un programme de formation et de sensibilisation à la cybersécurité. Il s’agit donc maintenant de maximiser voire de répéter plus régulièrement ces contenus, et pas nécessairement de repartir de zéro à chaque fois en créant de nouveaux programmes.
La formation en conditions réelles est aussi très efficace, si elle possible. Les utilisateurs doivent pouvoir comprendre comment ils pourraient être directement confrontés à des menaces informatiques sophistiquées et extrêmement ciblées, pour ensuite acquérir les bonnes réactions et les bons mécanismes si la menace se présentait. Les simulations basées sur des leurres réels sont un moyen efficace d’y parvenir, mais seulement 30 % des organisations les utilisent en France. Avec des budgets de plus en plus limités et des menaces en constante évolution, les équipes de sécurité peuvent avoir l’impression d’être délaissées : il faut faire mieux avec moins. Or, la cybersécurité ne peut pas être négligée. Il est donc essentiel de repenser nos défenses cyber pour être réellement à la hauteur de la tâche.
Une diversité de la menace inégalée
Au premier abord, les professionnels de la cybersécurité ne seront pas surpris par le paysage actuel des menaces. L’hameçonnage par courrier électronique (phishing), les rançongiciels (ransomware) et la compromission de courriel professionnel (BEC, pour Business E-mail Compromise) sont toujours les approches les plus populaires parmi les cybercriminels. Ces derniers ont amplifié leurs attaques afin d’infliger encore plus de dégâts. L’année dernière, les deux tiers (65 %) des organisations françaises interrogées pour le rapport State of the Phish ont déclaré avoir été confrontés à des menaces de ransomwares, et dans 66 % des cas, l’attaque a été menée avec succès. Parmi les entreprises qui se sont acquittées de la rançon exigée par les malfaiteurs, 37 % n’ont pas retrouvé accès à leurs données dès la première tentative.
L’année dernière, les attaques BEC ont été à l’origine des trois quarts des tentatives subies par les entreprises, les pays non anglophones étant particulièrement exposés. Les acteurs de la menace ont amélioré leur panel de compétences linguistiques, avec des conséquences marquées pour les pays européens comme l’Espagne (augmentation de 13 % des attaques BEC en 2022), l’Allemagne (+11 %) et la France (+5 %). En même temps, les cybercriminels continuent de développer des approches et des menaces par courriel plus complexes. L’année dernière, des centaines de milliers de messages d’hameçonnage par téléphone (TOAD) ont été envoyés chaque jour pour faciliter le contournement de l’authentification multifactorielle (MFA) des cibles, menaçant la quasi-totalité des organisations interrogées.
De nombreuses personnes et entreprises font encore confiance à l’authentification multifactorielle pour sécuriser les comptes et les réseaux hautement sensibles, et toute méthode permettant de contourner cette protection donne aux cybercriminels un nouvel avantage potentiellement dévastateur.
Comment remporter la course aux armements cyber ?
Alors que nous renforçons nos défenses pour faire face à l’évolution constante des menaces, les cybercriminels continuent de trouver de nouvelles stratégies pour les contourner. Cette situation n’est pas nouvelle, pourtant, la cyberdéfense ne peut pas se limiter à combler les lacunes au fur et à mesure qu’elles se présentent.
Pour faire face à l’adversaire, la compréhension et l’éducation doivent être au cœur de la stratégie de sensibilisation et de formation. Plus les utilisateurs en savent sur les attaques auxquelles ils peuvent être confrontés, sur la manière de les affronter et sur leur rôle pour les contrer, plus ils pourront contribuer à renforcer la protection de l’organisation et ses données. Ainsi, vous créerez une solide culture de la sécurité au travail, qui encouragera tous les collaborateurs de l’entreprise à adopter des mesures de sécurité plus fortes et plus résistantes à l’épreuve du temps et des changements continuels de la menace auxquels l’on peut aisément s’attendre.