Cybercriminalité : "chaos sécuritaire" dans les entreprises
Un nouveau rapport de cybersécurité pour les pays DACH parle d'un "chaos de sécurité dans l'économie". Plus d'un tiers des entreprises auraient été attaquées au moins trois fois par des pirates au cours des deux dernières années, souvent sans s'en rendre compte.
Environ 60 % des entreprises en Allemagne, en Autriche et en Suisse (région DACH) ont été victimes d'une cyberattaque au moins une fois au cours des deux dernières années. C'est ce qui ressort du "Cyber Security Report DACH 2024" de l'entreprise de sécurité Horizon3.ai. Pour ce rapport, un échantillon de 300 entreprises a été analysé. Il en ressort que bien plus d'un tiers (37 %) des entreprises ont signalé un sinistre concret. Un peu moins d'un quart (23 %) a certes constaté une attaque de pirates informatiques sur Internet, mais a pu, selon ses propres dires, la repousser complètement. 28 % des entreprises contactées par Horizon3.ai ne savent pas si elles ont été victimes d'une cyber-attaque au cours des 24 derniers mois. Seules 12 % des entreprises déclarent "Nous sommes sûrs de ne pas avoir été attaqués".
Près d'un quart a été attaqué trois fois ou plus
Près d'un quart des entreprises (23 %) ont été exposées à trois attaques de pirates au cours des deux années étudiées, et 12 % à des attaques encore plus fréquentes, selon le "Cyber Security Report DACH 2024". Dix-huit autres pour cent n'ont été attaqués "que" deux fois durant cette période, et onze pour cent une fois depuis Internet. "Le nombre de cas non recensés devrait être plusieurs fois plus élevé", suppose Rainer M. Richter, directeur Europe et Asie de l'entreprise de sécurité Horizon3.ai, qui a publié l'étude. Il craint : "Au vu des quelque 70 nouvelles vulnérabilités découvertes chaque jour dans les programmes logiciels et de la complexité croissante des environnements informatiques et de réseau, de nombreuses entreprises ont depuis longtemps perdu la vue d'ensemble de leur vulnérabilité réelle et de la fréquence à laquelle elles sont effectivement attaquées. Les cas où des attaquants rôdent pendant des mois dans les réseaux d'entreprise et s'emparent de données confidentielles sans que cela soit remarqué sont connus. Ce n'est que lorsqu'il y a un impact immédiat sur les activités en cours ou qu'une demande de rançon apparaît à l'écran que de nombreuses attaques sont remarquées".
Temps d'arrêt, dommages financiers, conséquences juridiques et vol de données
Selon le "Cyber Security Report DACH 2024", 63 % des entreprises interrogées ont subi un temps d'arrêt suite à une cyberattaque au cours des deux années étudiées. 42 % (plusieurs réponses étaient souhaitées) ont subi un préjudice financier. 36 % ont dû faire face à des conséquences juridiques. Dans 34 % des cas, des données ont été volées. 29 % des entreprises ont reçu une demande de rançon pour récupérer les données cryptées par les pirates.
L'expert en sécurité Rainer M. Richter s'étonne : "Beaucoup de conseils d'administration, de directeurs et de responsables informatiques ne semblent pas du tout se rendre compte qu'en plus des conséquences pour leur entreprise, ils peuvent également être tenus pour personnellement responsables si une cyberattaque entraîne de sérieux dommages. Dans ces cas, c'est à eux de prouver qu'ils ont fait ou ordonné tout ce qui était humainement possible pour éviter, par exemple, que les données sensibles des clients soient volées".
Une naïveté largement répandue au niveau de la direction
Les participants sélectionnés pour l'enquête occupent pour la plupart un poste à responsabilité dans leur entreprise : Chief Information Security Officer (23 %), chef d'équipe IT (21 %), Chief Information Officer (18 %), Chief Technology Officer (13 %) et administrateur système (7 %). "Selon l'enquête, la moitié des personnes personnellement concernées en cas de problème ne s'attendent pas à être tenues pour responsables d'éventuels dommages", s'étonne Rainer M. Richter au sujet de la naïveté largement répandue des cadres en matière de cyber-risques.
L'expert en cybersécurité met en garde contre un chaos sécuritaire : "L'économie est instamment priée de faire ses devoirs en matière de cybersécurité. Les vagues d'attaques sont provoquées par AI de plus en plus rapidement et de manière plus agressive, alors que dans le même temps, de plus en plus d'appareils sont connectés au réseau de l'entreprise grâce au travail à domicile et à l'Internet des objets, ce qui augmente visiblement les portes d'entrée pour les pirates. L'écart entre le niveau de danger et le niveau de protection se creuse donc de plus en plus".
Tests d'intrusion contre le chaos sécuritaire
Rainer M. Richter conseille aux entreprises "d'effectuer des tests d'intrusion à une fréquence élevée afin de vérifier en permanence leur cyber-résilience". Lors d'un tel test, une attaque mandatée par l'entreprise est menée sur sa propre entreprise afin de détecter les failles de sécurité. Dans le secteur financier, l'autorité européenne de surveillance des banques effectue à tour de rôle des tests de pénétration sous le nom de "stress test" afin de vérifier la capacité de défense des établissements financiers contre les attaques de pirates. "Je conseille à chaque conseil d'administration, directeur, fondé de pouvoir et responsable informatique de tous les autres secteurs de soumettre régulièrement sa propre entreprise à un tel test de résistance", déclare le responsable Europe et Asie d'Horizon3.ai, certainement pas de manière tout à fait désintéressée, car son employeur exploite sous le nom de NodeZero une plate-forme qui doit rendre de tels tests d'intrusion abordables pour les entreprises de taille moyenne.
Source : www.horizon3.ai
