Plus de 90% de ces cyberattaques aux conséquences parfois très lourdes reposent sur un concept : l’ingénierie sociale (5).
Un ensemble de techniques qui s’appuient sur le facteur humain et consistent à vous manipuler pour obtenir des données qui seront ensuite utilisées pour vous nuire. Elles visent autant les particuliers – il y en a plein vos spams ! – que les entreprises.
L’hameçonnage (ou phishing) est le vecteur d’attaque le plus fréquent (74% de vecteurs d’entrée des attaques subies). Il consiste à utiliser de faux e-mails ou de faux sites web afin de tromper l’utilisateur.
Qui n’a jamais reçu, en période noël, des SMS se faisant passer pour Chronopost et incitant à cliquer sur un lien frauduleux en prétextant une reprogrammation de livraison de colis ? La technique du faux-semblant (ou pretexting) joue sur les émotions de la personne ciblée.
Le hacker lui déroule un faux scénario pour gagner sa confiance et l’amener à dévoiler des informations sensibles.
Enfin, l’appâtage (ou baiting) consiste à offrir ou déposer dans l’espace public un périphérique infecté ou à envoyer un lien promettant un gain alléchant qui infectera de la même manière l’ordinateur de la victime.
Un autre type de cyberattaques risque de se généraliser. Leur porte d’entrée ? Les 244 millions d’objets connectés (6) qui fleurissent ça et là dans notre quotidien. La technologie allant souvent plus vite que la cybersécurité, ces équipements sont souvent vulnérables.
Le risque n’est pas seulement celui de vol de vos données personnelles.
Ces objets peuvent aussi être utilisés indirectement afin de mener des attaques DDos (déni de service), en saturant d’autres équipements par exemple.
Des chercheurs de l’Université de Princeton ont imaginé une attaque dans laquelle des hackers prennent le contrôle d’appareils énergivores afin de déstabiliser le réseau électrique.
L’étude stipule que 42 mille chauffe-eaux électriques suffiraient à couper 86% du réseau électrique polonais (7).
Les cyberattaques comprennent une part de risque réputationnel non négligeable et trop souvent sous-estimée.
Lorsqu’un vol de données entraîne la révélation d’informations capitales ou compromettantes sur l’entreprise ou l’individu ciblé, par exemple.
À l’heure où les théories du complot pullulent, le risque informationnel peut, lui aussi, devenir un risque réputationnel aux conséquences dramatiques sur l’organisation.
Enfin, à l’ère des réseaux sociaux et de la cancel culture (culture de l’annulation), un faux pas numérique peut également avoir des conséquences dévastatrices sur un dirigeant, un salarié et, in fine, l’image de marque de votre organisation, mettant ainsi en péril non seulement sa réputation mais également la confiance des clients.
Comme tout autre risque, il doit faire l’objet de formations pour les collaborateurs (sur le bon usage des réseaux sociaux, les règles de sécurité de vos publications et comptes en ligne, etc.) et d’une communication de crise maîtrisée.
Puisque 90% des cyberattaques en entreprises sont imputables à une action humaine (8), l’on peut espérer une évolution favorable à condition d’opérer un changement de culture globale.
En multipliant les campagnes de sensibilisation, les formations internes et régulières et en transformant les entreprises en systèmes apprenants. Mais également en anticipant le plus tôt possible et en accompagnant les transformations numériques.
La cybersécurité doit être appréhendée comme un problème transversal, qui concerne toute l’entreprise, et pas seulement les DSI, au même titre que la RSE concerne l’ensemble des salariés. Mais tout cela a un coût. 4 PME sur 5 n’ont pas d’expert cyber en interne et seulement 5% prévoient d’en recruter en 2023 (9).
Enfin, mieux l’on est préparé aux cyber-risques, plus vite et mieux l’on s’en remet. Plus de 50% des PME qui ont subi une cyberattaque meurent dans les deux ans (10). Une bonne préparation (changement de culture globale, stratégie de gouvernance des données, stockage dans le cloud, centralisation des informations, entre autres) et une bonne gestion de crise peuvent faire la différence. Dans le domaine de la cybersécurité, la résilience est peut-être la meilleure défense.
(1) Cartographie prospective 2021 des directeurs des risques de l’assurance et de la réassurance, Fédération Française de l’Assurance
(2) Rapports menaces et incidents du CERT-FR, État de la menace rançongiciels à l’encontre des entreprises et institutions, Agence nationale de la sécurité des systèmes d’information (ANSSI), 6 octobre 2021
(3) C’est-à-dire : ayant entraîné des pertes financières et/ou réputationnelles significatives
(4) 8e édition du baromètre annuel “Enquête exclusive sur la cybersécurité des entreprises françaises”, Opinionway pour le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 2023
(5) Cinq fails qui prouvent que l’erreur est humaine (surtout en cybersécurité), L’ADN.eu, 3 décembre 2019
(6) Évaluation de l’impact environnemental du numérique en France, Note de synthèse réalisée par l’ADEME et l’Arcep, 19 janvier 2022
(7) BlackIoT: IoT Botnet of High Wattage Devices Can Disrupt the Power Grid, Princeton University, août 2018
(8) Selon l’indice relatif à la veille stratégique en matière de sécurité d’IBM
(9) Premier baromètre cybersécurité des PME en Hauts-de-France, Euratechnologies, 15 juin 2023
(10) ibid
