Cyberattaques : quand investir ne protège pas 

Miguel De Oliveira
AISI

Les petites et moyennes entreprises (PME), les entreprises de taille intermédiaire (ETI) et les collectivités locales sont les premières cibles des cybercriminels. Pourtant, certaines se pensaient bien protégées. Comment expliquer ce phénomène ?

Dans son rapport d’activité de 2024, l’ANSSI annonce que les TPE/PME/ETI représentent jusqu’à 37% des attaques par rançongiciels, les collectivités territoriales étant également très touchées, avec jusqu’à 17% des organisations touchées par ce type d’attaque.  

Les conséquences d’une cyberattaque pour les organisations publiques et privées sont désastreuses et la gestion de la crise laisse toujours un goût amer aux équipes.  

Parmi les victimes, si certaines n’étaient pas assez protégées, d’autres pourtant se distinguent car elles investissent, parfois de manière conséquente, dans leur cybersécurité.  

Le paradoxe des victimes : « Pourtant nous avions investi en cybersécurité »  

Chaque jour, les attaques informatiques s’adaptent, se diversifient, s’intensifient. Si l’Intelligence Artificielle est un véritable bouclier stratégique de défense et de détection de menaces sur un système d’information, elle est aussi un outil puissant utilisé par les hackers pour identifier les failles de sécurité. Les cyberattaquants, tout comme la filière cyber, se sont professionnalisés.  

Alors que la menace est partagée par tous, il n’y a pas de profil type des entreprises attaquées. Nous constatons que les entreprises attaquées ne sont pas forcément celles qui ne sont pas protégées. Certaines entreprises victimes pensaient pourtant avoir mis en place les standards de sécurisation nécessaires et investissaient, parfois beaucoup.  

Et c’est là un véritable paradoxe : l’investissement en cybersécurité n’est pas un gage de sécurisation. Encore faut-il investir dans les bons outils et avoir le temps et l’expertise pour les exploiter. L’offre de cybersécurité du marché est aujourd’hui perçue comme complexe, très technique, trop coûteuse. Les compétences manquent, en particulier pour les PME, ETI et collectivités locales, qui sont plus fragiles. Dans ce contexte, mettre en place de premières briques de protection, hélas insuffisantes, maintient l’illusion d’un écosystème protégé.    

L’illusion de la protection et la pénurie de profils cyber  

Bien sûr, il faut investir dans la cybersécurité. De nombreux dirigeants l’apprennent à leurs dépens et si en matière de cybersécurité, il vaut mieux prévenir que guérir, la réalité du terrain est toute autre. La complexité des solutions et la pénurie de profils qualifiés en cybersécurité mettent le rôle du RSSI ou du DSI à rude épreuve. Souvent sursollicité, il est sur tous les fronts et sa responsabilité est énorme. Aujourd’hui, on estime que 90% des attaques ont une origine humaine. Une alerte critique qui n’a pas été repérée, une mauvaise mise à jour des annuaires des collaborateurs (mauvaise gestion de l’offboarding d’un collaborateur ou d’un prestataire), le fameux clic de trop sur un lien de phishing… Un SOC interne (une équipe de cybersécurité interne, souvent sous staffée) qui ne traite pas immédiatement ses alertes est inutile. Il faut pouvoir assumer un suivi quotidien des alertes de sécurité, jour et nuit, sans quoi la mise en place de technologies seules peut s’avérer inutile, voire extrêmement complexe à piloter.  

Stratégie cyber, humain et résilience comme réponse ?  

Face à une menace qui se généralise, la règlementation NIS 2 et le projet de loi « Résilience » cyber visent à augmenter les standards de sécurité pour de nombreux acteurs.  Encore faut-il que ces standards soient accessibles aux PME, ETI.    

Il existe une réponse, elle passe par la mise en place de bonnes pratiques d’hygiène informatique, la sensibilisation en continu des équipes et des dirigeants pour améliorer leur maturité globale aux sujets cyber,  l’externalisation ou l’appel à des professionnels compétents (SOC analystes capables de détecter et comprendre une attaque, Pentesters capables de simuler une attaque en utilisant les toutes nouvelles méthodes des hackers, ingénieurs en cybersécurité capables de choisir et paramétrer les solutions de sécurités adaptés aux moyens et ambitions de l’entreprise) qui pourront apporter l’expertise critique et nécessaire à ces entreprises. Il faut mettre en valeur une offre cyber réellement conçue pour ces organisations, plus fragiles face à la menace.  

De manière plus globale, il faut que les dirigeants d’entreprise comprennent qu’investir dans la cybersécurité est aujourd’hui une base essentielle et un véritable allié dans leurs succès présents et à venir. Il faut que les décideurs exigent des indicateurs de performance opérationnels en matière de cybersécurité, pour que les technologies, essentielles, soient correctement exploitées. Car en matière de cybersécurité, il est toujours plus facile d’attaquer que de défendre. Mais surtout, car la sécurité crée de la confiance, envers ses équipes, envers ses clients et contribue à la construction d’une société tout entière plus sûre, et plus résiliente.