Cybersécurité en Europe : de la menace à la résilience

Damien Gbiorczyk

L'ère où la cybersécurité n'était perçue que comme un enjeu technique est révolue. Aujourd'hui, elle touche à la continuité de nos démocraties, à la confiance des citoyens.

Chaque jour, l’Europe subit de nouvelles agressions numériques : attaques massives contre les hôpitaux, paralysie des services publics, espionnage industriel, fraude à grande échelle, … L’ère où la cybersécurité n’était perçue que comme un enjeu technique est révolue. Aujourd’hui, elle touche à la continuité de nos démocraties, à la confiance des citoyens et à la compétitivité des entreprises. Or, malgré les multiples avertissements, l’UE reste vulnérable face à ces menaces toujours plus sophistiquées. Le signal d’alarme retentit déjà, mais sera-t-il entendu ?

La France, une cible privilégiée des rançongiciels

En France, en 2024, l’ANSSI a traité 4386 événements de sécurité, soit une augmentation de 15% par rapport à l’année 2023. 

Le ransomware, en particulier, plane comme une menace persistante sur les entreprises, tous secteurs et territoires confondus. Ces attaques causent des ravages. En effet, 59 % des organisations françaises touchées ont dû suspendre leurs activités.

Aucune organisation, publique ou privée, grande ou petite, n’est à l’abri. Depuis le début de l’année 2025, les secteurs du retail et de la distribution ont particulièrement été touchés par des campagnes de piratage, en France. D'ailleurs, mi-août, le groupe Auchan a, à nouveau, été victime d’une cyberattaque massive, visant une partie des comptes de fidélité des clients. Les cybercriminels ont réussi à s’emparer de données sensibles, parmi lesquelles : nom et prénom, adresse e-mail et postale, numéro de téléphone, numéro de carte de fidélité. En effet, la centralisation massive de données personnelles au sein des programmes de fidélité est une aubaine pour les hackeurs. 

Les investissements de longue date dans les pare-feu, les systèmes de sauvegarde et les outils de détection s’avèrent inefficaces face à des attaquants capables de contourner les dispositifs de prévention, de s’implanter et de se déplacer latéralement sans être détectés.

De nouvelles réglementations comme DORA et NIS2 imposent également des standards de sécurité exigeants dans de nombreux secteurs critiques. Dans un contexte où la moindre faille peut dégénérer en crise majeure, la sécurité ne se résume plus à la conformité : c’est une question de survie.

Nous sommes entrés dans l’ère post-intrusion, où les violations sont inévitables et où la rapidité est cruciale. Il ne s’agit plus d’empêcher chaque attaque, mais de contenir leur propagation.

Un excès de confiance dans les défenses traditionnelles

Les organisations européennes continuent d’investir massivement dans des pare-feu, des suites antivirus et des défenses périmétriques, mais les violations continuent d’augmenter.

Gartner prévoit que les dépenses de cybersécurité en Europe dépasseront 1,8 billion de dollars en 2025. Pourtant, malgré l’augmentation des budgets, la multiplication des fournisseurs et l’élargissement des équipes de sécurité, les résultats ne changent pas : les attaquants arrivent toujours à leurs fins. Une approche purement fondée sur l’investissement suppose que plus d’outils équivaut à plus de protection, mais elle favorise souvent une posture réactive.

Un récent rapport NIS360 de l’ENISA révèle un écart de perception flagrant : les organisations s’autoévaluent à 7/10 en maturité cybersécuritaire, tandis que les autorités de contrôle leur attribuent une note de seulement 1/10 sur les contrôles de sécurité essentiels.

Les chiffres confirment ce décalage. Environ 88 % des organisations européennes ont subi une attaque par ransomware, ce qui démontre que même les programmes de sécurité perçus comme « matures » échouent face aux tactiques actuelles.

Rompre avec ce cycle réactif nécessite d’admettre que les défenses traditionnelles ne peuvent pas stopper toutes les menaces. Pour dépasser cet excès de confiance, les entreprises doivent anticiper les violations et investir dès maintenant dans des capacités de confinement.

Le problème : les déplacements latéraux

Les attaquants réussissent souvent non pas par la force brute, mais grâce à une approche furtive. Ils progressent lentement et discrètement pour éviter la détection et maximiser les dégâts.

Ils savent exploiter une seule vulnérabilité, un serveur non mis à jour ou un identifiant compromis, puis se déplacent latéralement dans le réseau de l’entreprise sans être repérés. Ce mouvement furtif leur permet d’élever leurs privilèges, de collecter des données sensibles et de déployer à grande échelle des charges de ransomware avant même que les défenseurs ne détectent la brèche.

En Allemagne, par exemple, 62 % des appareils compromis ont infecté d’autres machines du même réseau, transformant ainsi une brèche mineure en une crise généralisée.

L’une des raisons majeures de leur succès est le manque de visibilité des entreprises européennes. Les outils de surveillance traditionnels se concentrent principalement sur le trafic nord-sud au périmètre, laissant les communications est-ouest internes largement invisibles. Cette zone aveugle permet aux attaquants d’opérer sans alerter, en cartographiant le réseau et en se dirigeant latéralement vers les cibles stratégiques. C’est une tendance qui se vérifie encore plus lorsque les entreprises disposent d’un système d’information hybride avec du Cloud, des containers, des environnements legacy, etc.

Sans visibilité granulaire sur le trafic est-ouest, les équipes de sécurité restent aveugles face à ces incursions transversales jusqu’à ce qu’il soit trop tard. À moins de pouvoir détecter et bloquer les mouvements latéraux en temps réel, toute brèche, même minime, risque de se transformer en désastre total.

La solution : le confinement des brèches

Au lieu de poursuivre chaque menace à la frontière, les organisations doivent se concentrer sur la neutralisation des attaquants une fois qu’ils sont à l’intérieur. Le confinement inverse le modèle défensif classique : il ne s’agit plus de surveiller un réseau monolithique, mais de le diviser en segments isolés, avec des accès strictement contrôlés.

Le confinement ne remplace pas la prévention ; il la complète. Les pare-feu bloquent les menaces connues, les outils de détection repèrent les comportements suspects, les sauvegardes assurent la reprise d’activité. Le confinement, quant à lui, garantit que toute intrusion reste localisée. Cette stratégie multicouche réduit considérablement le temps de présence de l’attaquant, passant de plusieurs jours ou semaines à quelques minutes grâce à une détection et une réponse plus rapide.

La microsegmentation est le cœur du confinement. Elle impose des politiques réseaux granulaires, jusqu’au niveau de chaque charge de travail, limitant drastiquement les capacités de déplacement latéral des attaquants. Cette approche repose sur les principes du « zero trust », qui exigent une vérification de chaque utilisateur et appareil, quel que soit leur emplacement, avant d’autoriser une communication.

Pourtant, seulement 27 % des organisations dans le monde ont mis en œuvre la microsegmentation ou une approche globale de confinement, laissant la majorité vulnérable à la propagation non contenue des attaques. Les entreprises doivent adopter cette stratégie de “breach containment” si elles veulent espérer enrayer les mouvements latéraux des attaquants.

Pour étendre le confinement aux environnements cloud et hybrides dynamiques, il faut une approche hautement automatisée de l’application des politiques, reposant sur des graphes de sécurité basés sur l’IA. Ces graphes cartographient en continu les dépendances applicatives, les identités des utilisateurs et les flux de données, mettant en évidence les comportements anormaux en temps réel. Grâce à ces informations contextuelles, les équipes peuvent isoler automatiquement les segments affectés, empêchant ainsi une brèche isolée de se transformer en interruption à l’échelle de l’entreprise.

Le virage que les entreprises doivent prendre… maintenant

Les cybercriminels ont trouvé une stratégie gagnante, et ils continueront tant qu’elle portera ses fruits. Face à cette offensive, la défense passive n’est plus une option viable.

Les organisations doivent adopter une posture active de type « assume breach », en concevant des systèmes capables de résister aux intrusions une fois que les défenses périmétriques sont franchies.

Des réglementations comme NIS2 et DORA imposent un changement d’attitude à travers des obligations de déclaration d’incidents, d’exercices de simulation et de pratiques de gestion des risques. Mais elles ne prescrivent pas encore de mesures de confinement spécifiques. La conformité ne garantit pas la résilience, et les entreprises ne peuvent attendre des règles plus contraignantes pour agir : elles doivent prendre les devants.

La sécurité repose sur une résilience conçue dès l’origine : partir du principe qu’une brèche est inévitable, segmenter de manière agressive et pratiquer le confinement en continu. Ce n’est qu’à ces conditions que les entreprises européennes pourront survivre dans le paysage de menaces actuel.

Le signal d’alarme cyber a déjà retenti en Europe, reste à savoir si elle saura y répondre. Si ses États membres pourront transformer leurs vulnérabilités  et stratégie de résilience commune.