Article

Cybersécurité : Cartographie des risques et des enjeux

octobre 2023 | Temps de lecture : 5 min

Le coût global de la cybercriminalité est estimé à plus de 6000 milliards de dollars. Il serait donc illusoire de penser qu’il s’agit d’une simple préoccupation d’informaticiens. Une cyberattaque peut en effet impacter toute la chaîne de valeur de l’entreprise.  

Toutes les parties prenantes internes mais également externes à l’entreprise doivent être sensibilisées à cet enjeu pour accompagner plus sereinement la fragmentation et l'expansion de la responsabilité des données au sein des organisations et de leur écosystème. 

Découvrons les types de menaces cybercriminelles, et quelles sont les tendances actuelles de ce phénomène en constante évolution. 

EXEIS Conseil-Cybersécurité : Cartographie des risques et des enjeux

Les 4 grandes catégories de cyber-menaces

L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) identifie 4 grandes catégories de cyber-menaces pesant sur la confidentialité, la disponibilité ou l’intégrité des données des entreprises :

  • La saturation et la défiguration sont des menaces de déstabilisation qui visent spécifiquement les sites internet des entreprises, soit pour les rendre inopérants et inaccessibles, soit pour détourner ou supprimer les informations affichées.
    • Pour mener à bien une saturation, les cybercriminels utilisent une technique peu sophistiquée de déni de service, appelée aussi DDoS, Distributed Denial of Service. Elle consiste à surcharger la capacité d’un serveur pour en altérer la capacité de service, voire à le rendre inutilisable.
    • La défiguration, quant à elle, exploite généralement des vulnérabilités connues, mais non corrigées, sur les pages web.

 

  • L’espionnage économique ou industriel est désormais majoritairement basé sur des procédés cybercriminels. Il consiste à accéder aux données sensibles d’une entreprise concurrente ou d’un partenaire stratégique. Cette intervention est généralement réalisée sans laisser de trace (« spyware »), mais dans certains cas elle s’accompagne d’un vol ou d’une corruption des données pour perturber l’activité de la cible (« malware »). Les hackers mènent également des vols de données bancaires pour leur profit personnel.
    • Les techniques utilisées pour le cyber-espionnage vont de l’intrusion suivie d'un maintien de l’accès distant au système visé, au traditionnel hameçonnage (« phishing »). Ce dernier consiste à usurper une identité via des emails malveillants pour infiltrer un système d’informations.

 

  • Le sabotage est une opération ouvertement malveillante dont l’objectif est de déstabiliser économiquement une entreprise en rendant inopérant tout ou partie du système d’information. Les dégâts peuvent être très importants dans 60% des cas (baromètre CESIN). La rupture d’activité est la 1ère conséquence citée par les entreprises de l’étude internationale « Future of Cyber » publiée en 2023 par le cabinet Deloitte, suivie par la perte de revenus et la dégradation de la réputation.

    • Ces opérations de sabotage s’appuient sur différentes techniques, et notamment le phishing. Mais les cybercriminels exploitent également les failles techniques de systèmes d’information de plus en plus connectés et interconnectés. Les attaques peuvent ainsi provenir par rebond du SI plus vulnérable d’une entreprise partenaire.

 

  • Enfin, le rançonnage est aujourd’hui la pratique la plus courante à laquelle les entreprises doivent faire face, bien qu’aucune statistique précise ne soit disponible sur ce phénomène. Après avoir accédé aux données sensibles, le cybercriminel verrouille leur accès via un chiffrement des données et exige le paiement d’une rançon tout en menaçant la divulgation ou la destruction de ces dernières
    • Pour cela, les hackers utilisent des ransomwares, des logiciels malveillants qui sont généralement déployés à l’aide d’attaques par hameçonnage, ou simplement à l’aide de dispositifs infectés via une connexion USB.

 

Les menaces et conséquence de la cybersécurité

 

Les 3 tendances majeures autour des cyber-menaces

Certaines de ces menaces et techniques sont connues depuis de nombreuses années. Mais la cybercriminalité est une activité qui a su se développer en s’appuyant sur les évolutions technologiques et sociétales. Ce « marché » ne cesse d’évoluer et nous constatons actuellement 3 tendances majeures qu’il convient de bien comprendre pour mieux faire face à la menace cyber :

 

Les tendances majeures autour de la cybersécurité

 

  • Les nouvelles technologies apportent de nouvelles menaces, mais également de nouveaux outils de protection.
    • C’est notamment le cas de l’intelligence artificielle, qui se déploie aujourd’hui dans tous les secteurs d’activité. Les cybercriminels sont conscients des avantages de l’IA, et utilisent des technologies comme l’apprentissage automatique pour échapper aux mesures de protection de la cybersécurité. Mais l’IA peut également contrer la cybercriminalité en identifiant des modèles de comportement qui permettent de mettre en lumière tout évènement inhabituel, avec par exemple les EDR (Endpoint Detection & Response). Ce sont ainsi près de 3 entreprises sur 4 qui utilisent ou testent l’IA à des fins de cybersécurité (source : Cap Gemini).
    • Les objets connectés (« IOT ») sont partout, notamment dans les secteurs de l’industrie et de la distribution. Malheureusement, ce sont autant de point d’accès possibles pour les cybercriminels. L’expansion et la sophistication des ces objets connectés représentent donc un enjeu majeur de la cybersécurité des entreprises, comme des particuliers.
    • La transformation informatique du monde industriel, appelée industrie 4.0, s’appuie sur les objets connectés mais également sur l’utilisation de nombreuses autres technologies telles que le big data, le cloud computing ou encore les systèmes de contrôle et d’acquisition de données en temps réel (SCADA). L’intégration de ces nouvelles technologies induit une ouverture du SI Industriel vers l’extérieur et une augmentation exponentielle du nombre de machines, capteurs et systèmes. Ces deux facteurs – ouverture et complexité - augmentent fortement l’exposition des systèmes industriels au risque cyber, dans un contexte de recrudescence des cyberattaques.
    • Les ordinateurs quantiques sont des machines capables de délivrer une puissance de calcul sans commune mesure avec les machines actuelles. Dans une étude de 2022, l’ANSSI soulève notamment la menace que représente de tels ordinateurs sur la cryptographie à clé publique (PKC) à la base de nombreuses solutions de cybersécurité, nécessitant le passage à une cryptographie post-quantique.
    • Bien qu’encore peu développé, le métavers constitue une autre évolution technologique et sociétale susceptible d’être exploitée par les cybercriminels. L’accès aux données privées représente notamment un enjeu important dans ces nouveaux univers virtuels.

 

Cybersécurité - Directive NIS 2

 

  • La cyber-résilience devient une exigence de la part du législateur, mais également des différentes parties-prenantes de l’entreprise : investisseurs, clients, salariés, fournisseurs…
    • Conscientes de l’enjeu économique mais également politique de la cybersécurité, les institutions nationales et supranationales ont déployé progressivement un arsenal réglementaire pour contraindre les entreprises à protéger leur SI et à adopter des pratiques vertueuses, avec notamment les directives DORA et NIS2 (voir infographie).
    • Au-delà de la contrainte réglementaire, les entreprises doivent prendre conscience que la cybersécurité représente une attente de plus en plus forte de la part de leurs différentes parties prenantes internes (salariés) et externes (investisseurs, partenaires et clients). Ainsi se développe une nouvelle activité d’évaluation des risques cyber ouverte aux parties prenantes, une tendance que l’on constate également dans le domaine de la Responsabilité Sociétale des Entreprises (RSE). Selon Gartner, d’ici 2025, 60 % des entreprises utiliseront le risque d’expositions aux cyberattaques comme un « facteur déterminant » dans le choix de leurs partenaires commerciaux.

 

  • La cybercriminalité est désormais un phénomène massif qui s’étend à tous les acteurs privés et publics, qui ne cesse d’évoluer pour contourner les systèmes de protection.
    • En France, la menace cybercriminelle et plus spécifiquement celle liée aux rançongiciels a connu un regain d’activités fin 2022, se maintenant alors à un niveau élevé. Cette menace cybercriminelle touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en 2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %) (source CERT-FR).
    • Les cyber-attaques se vendent désormais « as a service » : les pirates s’organisent comme des entreprises, et développent leur « marketing » et leur image de marque, et n’hésitent pas à publier des annonces de recrutement. De même, ils commercialisent des ransomwares de plus en plus « conviviaux » avec des consoles de management.
    • Face à eux, le marché de la cybersécurité français, estimé à 5 milliards de dollars en 2022 (source : Xerfi) est très dynamique mais il peine fortement à recruter et à fidéliser. Au-delà du recrutement, l’une des pistes de développement pour les acteurs de la cybersécurité est la mise en œuvre de partenariats avec des assureurs.  
    • La cyberassurance est en effet un marché en plein développement. Les assureurs multiplient les initiatives pour en tirer parti, avec des solutions cyber dédiées, des démarches d'accompagnement des assurés ou encore la signature de partenariats avec des spécialistes de la cybersécurité. Le marché des PME représente le principal potentiel de croissance puisque seules 0,3% des PME françaises étaient couvertes en 2021, contre 84% des grandes entreprises (source AMRAE).

 

Conclusion

Nous avons donc vu dans cette cartographie que le contexte cyber des organisations est en constante mutation, induite par une combinaison de plusieurs tendances : 

  • Technologique premièrement, avec l’utilisation de plus en plus prégnante de nouvelles technologies par les cybercriminels, mais aussi par les professionnels du secteur.
  • Réglementaire ensuite, avec une pression de plus en plus forte de la part du législateur pour intégrer la cybersécurité au cœur des entreprises.
  • Et enfin sectorielle, avec le développement des cyber assurances ou l’intégration avec les partenaires.

Il est donc de plus en plus important pour les organisations de se préparer au risque cyber et de passer dans une posture de préparation aux cyberattaques.

À propos des auteurs
François LE BAGOUSSE - Consultant Senior
François LE BAGOUSSE Consultant Senior
Contacter François
Envoyer un message à François LE BAGOUSSE

Disposant de 6 ans d’expérience dans le Conseil, François a développé de solides compétences dans la transformation digitale des entreprises et la gestion des risques. Il intervient particulièrement sur le secteur industriel en étant au cœur des projets de transformation des métiers.