Répondez aux exigences de conformité à la directive NIS2 pour mieux protéger votre entreprise.    Lire le guide

Dans notre univers numérique en constante évolution, toute entreprise voit ses opérations, ses revenus, ses données et la notoriété de sa marque potentiellement exposés aux risques de cyberattaque. Pour les entreprises, qu'elles soient grandes ou petites, l'attention doit se porter sur la réduction de la surface des cyberattaques et la gestion des cyberrisques, tout en s'adaptant aux évolutions du marché et en continuant à répondre aux besoins des clients.

C'est évidemment un défi de taille. Alors, penchons-nous davantage sur les cyberrisques et les menaces les plus fréquentes auxquelles font face les équipes de sécurité, et découvrons cinq astuces qui permettront à votre entreprise de prendre l'avantage sur les cybercriminels pour assurer sa protection.

Qu'est-ce que le cyberrisque ?

Le cyberrisque évalue la probabilité qu'un cyberattaquant tire parti d'une cybermenace, tout en considérant l'impact potentiel de cet événement malheureux, comme la compromission de la confidentialité, de l'intégrité et de la disponibilité des informations de l'entreprise. Gardez à l'esprit que l'impact total sur une entreprise peut englober des éléments à la fois concrets et abstraits :

  • Les impacts concrets sont généralement les facteurs qui entraînent des pertes financières pour l'entreprise, comme le coût du versement d'une rançon, la perte de revenus liée à l'arrêt des activités, les frais associés à la gestion de l'incident, les coûts juridiques et les sanctions réglementaires.
  • Les impacts abstraits se manifestent de manière moins visible et prennent souvent plus de temps à identifier et à mesurer. La perte confiance envers la marque, la diminution de l'acquisition de nouveaux clients et l'augmentation du taux d'attrition de la clientèle en sont des exemples.

Au cours de la dernière décennie, le cyberrisque a constamment progressé, avec une montée en volume et en sophistication des cyberattaques sur le marché. De fait, les experts anticipent que les cybercriminels déroberont plus de 33 milliards d'enregistrements en 2023, soit une hausse de 175 % par rapport à 2018, il y a seulement cinq ans.1 À quoi attribuer une telle progression ? Deux facteurs principaux sont à l'origine de cette situation : les tensions géopolitiques et la hausse générale de la cybercriminalité.

Les technologies de l'information et l'internet sont omniprésents dans notre société. Quand les tensions géopolitiques s'intensifient entre États ou communautés, l'infrastructure informatique et les données deviennent de nouvelles armes. Les États-voyous et les hacktivistes intègrent les cyberattaques à leur arsenal pour réaliser des objectifs tels que l'espionnage, le sabotage d'infrastructures stratégiques ou les campagnes d'influence.

La cybercriminalité étant une activité très rentable, les acteurs malveillants sont hautement motivés pour perfectionner leurs méthodes et techniques d'attaque dans le but de réaliser des gains financiers. En fait, la cybercriminalité est si rentable qu'elle occuperait le rang de la troisième économie mondiale, si elle était un pays, juste après les États-Unis et la Chine, selon le Forum économique mondial (WEF). Selon les données de Cybersecurity Ventures, elle devrait coûter au monde 8 000 milliards de dollars en 2023 et 10 500 milliards de dollars en 2025.2

2024-gtr-exec-summary-cover-fr

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger
 

Cyberrisques externes et internes

Les sources de cyberrisques peuvent être à la fois externes et internes à l'entreprise.

Les facteurs externes contribuant au cyberrisque incluent les hackers isolés, les groupes de cybercriminalité organisés et les entités gouvernementales, mais aussi les événements environnementaux comme les conditions météorologiques et les séisme.

Les cybermenaces internes proviennent souvent d'employés, de sous-traitants ou de partenaires ayant un accès légitime au réseau de l'entreprise. Ils exploitent cet accès privilégié pour des actions malveillantes, comme l'espionnage, la fraude, le détournement de propriété intellectuelle ou le sabotage, en vue d'en tirer un gain personnel.

Ces deux types de cyberrisques posent des problèmes qui leur sont propres. La transition numérique amplifie considérablement les risques, rendant ainsi la gestion des cyberattaquants externes complexe pour les entreprises. Les entreprises doivent désormais prévoir les diverses méthodes qu'un cybercriminel pourrait utiliser pour infiltrer leur organisation. Les exploits internes posent également des problèmes, car les acteurs malveillants sont authentifiés sur le domaine et utilisent des outils légitimes, compliquant ainsi la détection rapide de ces cybermenaces.

Si les cybermenaces internes et externes peuvent avoir des conséquences tout aussi néfastes lorsqu'elles aboutissent, il est clair qu'une des deux prédomine en termes de fréquence d'occurrence au sein des entreprises. Selon Verizon, les compromissions de données sont 75 % plus susceptibles de résulter d'attaques externes que d'une source interne.3

Types de cyberrisques les plus courants

Au cours de la dernière décennie, l'évolution rapide des technologies, ainsi que l'adoption du cloud, l'interaction numérique et les interfaces clients multicanaux, ont profondément modifié la manière dont les entreprises opèrent. Parallèlement à ces transformations opérationnelles, l'expansion de la surface d'attaque des entreprises a alimenté une progression rapide dans le domaine des cybermenaces. En effet, les méthodes et tactiques d'attaque évoluent et se perfectionnent quasiment chaque jour.

Les acteurs malveillants, qu'ils soient internes ou externes, peuvent pénétrer le réseau et les données d'une entreprise par divers moyens. C'est ce qu'on appelle un vecteur d'attaque. En voici quelques exemples parmi les plus courants :

Risques internes

Lorsque vous réfléchissez au cyberrisque interne pour votre entreprise, vous devez prendre en compte les actes accidentels et ceux qui sont délibérément malveillants.

Qu'ils soient malveillants ou accidentels, les cyberrisques internes les plus courants proviennent de surfaces d'attaque non protégées, par exemple :

  • Actifs exposés non gérés : lorsque l'accès réseau n'est pas correctement révoqué pour des utilisateurs ou des équipements informatiques devenus obsolètes, les vulnérabilités de sécurité augmentent pour l'entreprise. Ces risques peuvent surgir à n'importe quel moment, étant donné la nature changeante du milieu entrepreneurial.
  • Vulnérabilités non corrigées : dans un monde où les vulnérabilités sont exploitées en permanence, la gestion des correctifs joue un rôle important dans la protection contre les cyberrisques. Pourtant, 71 % des professionnels de l'informatique et de la sécurité considèrent que l'application de correctifs est complexe et prend du temps.4
  • Identité, gestion des mots de passe : les systèmes d'entreprise reçoivent constamment des tentatives de connexion tout au long de la journée, au cours desquelles l'identité des personnes ou des machines doit être vérifiée. Ensuite, il faut gérer le va-et-vient constant des mots de passe et des accès utilisateurs, au gré des arrivées et des départs des employés. Malheureusement, la gestion des mots de passe ou l'état de sécurité des machines peut représenter une vulnérabilité majeure pour les entreprises, car 80 % des compromissions de données mondiales sont liées à des déficiences dans la sécurisation des mots de passe. 5 Le nombre d'identités liées aux machines, comme les certificats SSL, les clés SSH ou les certificats de signature, augmente également rapidement. La prolifération des identités et la mauvaise gestion des clés exposent les entreprises à des risques élevés.
  • Protection insuffisante : alors que les entreprises adoptent des technologies qui stimulent leur activité, telles que les initiatives de migration vers le cloud, la mise en place d'une protection adéquate pour ces nouvelles surfaces d'attaque peut être retardée voire ignorée. Dans de telles situations, l'entreprise opère avec des mesures de sécurité inadéquates, rendant ainsi beaucoup plus probable une compromission de données aux conséquences graves.
  • Sensibilisation et formation des utilisateurs à la sécurité : vos employés représentent souvent le dernier rempart en matière de sécurité, et tout repose sur leur choix de cliquer ou non sur un lien. Éduquer les employés sur les bonnes et mauvaises pratiques en matière de sécurité peut être décisif pour minimiser la vulnérabilité de votre entreprise face aux cyberrisques internes.

Risques externes

Les menaces externes peuvent émaner de divers acteurs malveillants, y compris des gouvernements, des cybercriminels et des hacktivistes. Durant l'année 2022, ces cybercriminels ont démontré leur aptitude à évoluer, se diviser, se regrouper et prospérer malgré les mesures de protection en place.

Une des méthodes qui rendent les cybercriminels si agiles est l'utilisation de marchés clandestins élaborés pour l'achat et la vente de cyberattaques prêtes à l'emploi. Les kits de phishing, les exploits clé en main, les outils pour dupliquer des sites web et d'autres ressources permettent aux pirates de monter et de déployer des cyberattaques sur mesure plus aisément. Voici quelques-unes des techniques d'attaque les plus courantes :

  • Phishing et harponnage (spear phishing) : les pirates créent de faux sites, e-mails ou messages vocaux pour pousser les utilisateurs à divulguer leurs identifiants ou à accomplir une action spécifique, en jouant sur la psychologie humaine. Après avoir obtenu les identifiants, les acteurs malveillants peuvent les commercialiser sur des forums clandestins, où ils pourront être réemployés pour créer des réseaux de robots, de nouvelles usurpations ou des extorsions de fonds.
  • Logiciels malveillants : ces logiciels sont des programmes ou des codes créés dans le but de nuire à un ordinateur, à un réseau ou à un serveur. Les logiciels malveillants représentent la forme de cyberattaque la plus répandue, car cette catégorie englobe une variété de types de cyberattaques comme les ransomwares, les chevaux de Troie, les spywares, les virus et tout autre type d'attaque exploitant un logiciel de façon malveillante.
  • Kits d'exploit : un kit d'exploit est comme une boîte à outils que les cyberadversaires utilisent pour attaquer des failles spécifiques dans un système ou un code informatique. Après avoir exploité ces vulnérabilités, ils passent à d'autres activités malveillantes telles que la propagation de logiciels malveillants ou de ransomwares. Nous les appelons boîtes à outils, car elles exploitent des failles de sécurité et des vulnérabilités des logiciels en utilisant un code spécifique. Les exploits sont souvent écrits par les équipes de sécurité pour prouver l'existence de menaces potentielles, mais en réalité, ce sont généralement les cybercriminels qui les créent.
  • Déni de service distribué (DDoS) : une attaque par déni de service distribué (DDoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités de l'entreprise. Suite à cela, les utilisateurs sont incapables d'effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d'autres ressources gérées par un ordinateur ou un réseau compromis. Même si ces attaques ne conduisent généralement pas à la perte de données, elles engendrent pour l'entreprise des dépenses en temps, en argent et en autres ressources pour restaurer ses activités stratégiques.
  • Injection SQL : une attaque par injection SQL tire parti des failles du système en insérant des commandes SQL malveillantes dans une application orientée données. Ainsi, le pirate peut accéder aux informations et les extraire de la base de données.

En savoir plus

Consultez notre article concernant les diverses catégories de cyberattaques afin d’approfondir votre compréhension de leur impact sur les entreprises et d’explorer divers exemples pour chaque type.

À lire : Types de cyberattaques

5 conseils pour vous prémunir contre les cyberrisques

Beaucoup ont tendance à croire que les cyberattaques n'affectent que les grandes entreprises, mais en réalité, les PME sont parmi les cibles les plus privilégiées des cybercriminels. En réalité, le marché a connu une augmentation de 200 % des incidents visant les entreprises comptant moins de 1 000 employés entre 2021 et 2022.6

Conclusion : les cyberadversaires ne cessant de modifier leur stratégie, les entreprises, qu'elles soient grandes ou petites, doivent rester vigilantes en ce qui concerne leurs mesures de sécurité. Voici cinq conseils qui vous seront utiles.

1. Faites l'inventaire de vos actifs numériques

L'inventaire des actifs est un élément fondamental du programme de sécurité de toute entreprise. En l'absence d'un inventaire complet et actualisé, des failles de sécurité majeures apparaissent et le risque de compromission de données s'accroît, car il est impossible de protéger un actif dont on ignore l'existence.

Le maintien d'une bonne hygiène IT avec un inventaire en temps réel de vos actifs numériques donnera à votre entreprise une bonne visibilité sur les ordinateurs, les applications et les comptes utilisés dans votre environnement. Cette visibilité aidera votre équipe informatique et de sécurité à élaborer un programme de sécurité complet qui couvrira touts vos actifs numériques.

2. Restez à l'affût de toutes les cybermenaces

La rapidité, le volume et la sophistication des cybercriminels, combinés à une surface d'attaque en expansion rapide, exigent une approche qui commence par comprendre les cybercriminels et leurs compétences. Cette stratégie de gestion des risques, également appelée défense orientée renseignement, repose sur les adversaires et les moyens qu'ils emploient pour infiltrer le système informatique de votre entreprise.

Comprendre les cybercriminels ne doit pas forcément être complexe ou de prendre du temps, à condition d'avoir les renseignements appropriés. L'univers des cyberadversaires étant vaste et leurs opérations évoluant rapidement, vos outils de cyberveille doivent être capables de trier rapidement toutes les données disponibles pour effectuer des mises à jour en fonction des activités récentes des cybercriminels. La cyberveille est un outil essentiel pour identifier les cybermenaces émergentes. En dressant une liste des cyberadversaires par ordre de priorité, la cyberveille vous permet de rester informé des risques les plus importants dans un environnement numérique en constante évolution.

En savoir plus

Consultez notre site Adversary Universe pour vous tenir informé du paysage actuel des cybermenaces à l'échelle mondiale et vous préparer à défendre votre entreprise. Explorer le site web Adversary Universe

En savoir plus : Adversary Universe

3. Élaborez un plan de réponse à incident

La planification de la réponse à incident est importante, car elle permet à votre entreprise de réagir rapidement en cas d'incident de sécurité afin d'en minimiser l'impact et d'améliorer le délai de récupération. En ce qui concerne la réponse à incident et les bases sur lesquelles bâtir votre plan, le National Institute of Standards and Technology (NIST) fournit un cadre solide à suivre. En adoptant ce modèle, vous bénéficierez d'une méthode robuste pour garantir que tous les intervenants principaux comprennent leur rôle et soient capables d'intervenir rapidement et de façon ciblée lorsqu'une réponse s'avère nécessaire. Il contient quatre phases du cycle de réponse à incident :

  • Étape 1 : préparation
  • Étape 2 : détection et analyse
  • Étape 3 : confinement, éradication et récupération
  • Étape 4 : activité après l'incident

Veillez à documenter et partager votre plan avec toutes les parties prenantes. Vous devrez également le mettre à jour régulièrement pour qu'il reste d'actualité. Toutes les personnes concernées doivent avoir accès aux parties du plan qui relèvent de leur responsabilité et doivent être averties à chaque révision du plan. Dans un esprit d'amélioration continue, votre entreprise doit également disposer d'un système efficace de retour d'information suite à un incident significatif. Cette démarche vous permettra de comprendre les réussites et d'identifier les aspects à améliorer pour optimiser la gestion future des incidents par votre équipe.

4. Mettez en place un programme complet de formation à la cybersécurité

Bien que les employés constituent la plus grande richesse d'une entreprise, ils représentent souvent son point vulnérable face aux cybermenaces. L'erreur humaine, que ce soit en succombant à des tentatives de phishing ou en cliquant sur un lien malveillant, demeure la cause principale des incidents de sécurité, étant responsable de 82 % des compromissions en 2022.7 Pour résorber ces points faibles et réduire les risques, vous pouvez instaurer un programme de sensibilisation en cybersécurité offrant une formation continue à vos employés. En particulier, les entreprises indiquent avoir fait chuter leur cyberrisque de 60 % à 10 % au cours de la première année de mise en œuvre de formations régulières pour leurs collaborateurs.8

Votre programme doit éduquer votre personnel sur les menaces de sécurité fréquentes, encourager une conduite en ligne prudente et fournir des directives sur les actions à entreprendre en cas de suspicion de cyberattaque. De plus, la formation en cybersécurité devrait être obligatoire pour tous les employés, indépendamment de leur poste, de leur lieu de travail ou du type de leur fonction. Néanmoins, il peut être pertinent de personnaliser les programmes de formation selon le poste, l'expérience et le lieu de travail de chaque collaborateur.

5. Collaborez avec les bons professionnels de la cybersécurité

La défense d'une entreprise face à la diversité des cybermenaces est un enjeu majeur, exigeant à la fois des équipes de sécurité compétentes et des outils efficaces pour sécuriser votre environnement, tant sur les fronts internes qu'externes, contre les intrusions et les compromissions de données. Pour optimiser les opérations de sécurité de votre entreprise grâce à un mélange équilibré de talents, de méthodes et de technologies, vous devez vous appuyer sur des fournisseurs et des prestataires de services fiables dans tous les domaines où vous avez des besoins.

Que vous envisagiez un partenariat avec un fournisseur de cybersécurité ou un fournisseur de services de sécurité managés (MSSP), vous devez choisir une entité réputée, bénéficiant de retours positifs et maintenant un haut degré de satisfaction client. Dans l'idéal, votre relation avec un partenaire en cybersécurité se développera sur le long terme. C'est pour cette raison qu'une étude minutieuse de l'entreprise candidate s'impose avant de finaliser votre choix, afin de garantir son adéquation avec les besoins actuels et futurs de votre entreprise.

1 TechTarget. 34 cybersecurity statistics to lose sleep over in 2023 (34 statistiques sur la cybersécurité qui vous empêcheront de dormir la nuit en 2023). Janvier 2023.

2 Cybernews. Cybercrime is world’s third-largest economy thanks to booming black market (La cybercriminalité est la troisième économie mondiale grâce à un marché noir en plein essor). Février 2023.

3 Verizon. Data Breach Investigations Report (Rapport d'enquête sur les compromissions de données). 2022.

4 Dark Reading. 71% of Security Pros Find Patching to be Complex and Time Consuming, Ivanti Study Confirms (71 % des professionnels de la sécurité considèrent que l'application de correctifs est complexe et prend beaucoup de temps, comme le confirme une étude d'Ivanti). 2021.

5 Verizon. Data Breach Investigations Report (Rapport d'enquête sur les compromissions de données). 2022.

6 Verizon. Data Breach Investigations Report (Rapport d'enquête sur les compromissions de données). 2022.

7 Verizon. Data Breach Investigations Report (Rapport d'enquête sur les compromissions de données). 2022.

8 Usecure. How often should employees really receive security awareness training? (À quelle fréquence les employés doivent-ils vraiment recevoir une formation de sensibilisation à la sécurité ?)