1. Introduction à la cybersécurité et chiffres clés
👁️

1. Introduction à la cybersécurité et chiffres clés

1.1 Les 7 principaux enjeux et tendances de la cybersécurité

1️⃣
Le risque cyber est, pour beaucoup d’entreprises, le risque numéro un !
Le risque cyber est désormais considéré par de nombreuses organisations comme leur premier risque. Les “incidents cyber” se placent en tête du baromètre mondial des risques 2022 d’Allianz, de l’étude CEO Survey 2022 de PwC et de la cartographie prospective 2022 de France Assureurs.
2️⃣
Un risque qui concerne tout le monde et qui peut avoir des conséquences lourdes
Selon le dernier baromètre du CESIN, plus d’1 entreprise sur 2 déclare avoir subi entre 1 et 3 attaques cyber réussies en 2021. Pour 6 entreprises sur 10, ces impacts ont eu des impacts business significatifs (arrêt de la production, vol d’informations, indisponibilité du site web...). Ainsi, les conséquences sont concrètes et de différentes natures (financières, réputationnelles, légales...). Pire, 70 % des PME victimes d’une attaque informatique déposent le bilan dans les trois ans (selon Orange Cyberdéfense).
Zoom sur une ETI placée en redressement judiciaire
3️⃣
Un risque grandissant du à la digitalisation croissante et au contexte géopolitique
En 2021, les entreprises mondiales ont subi en moyenne 13% de cyberattaques en plus qu’en 2020 (selon Orange Cyberdéfense). La digitalisation croissante des entreprises augmente les surfaces d’attaques (nomadisme, IoT, cloud...) et le conflit russo-ukrainien augmente le risque.
Zoom sur les risques liés au télétravail et sur les recommandations de sécurité
Zoom sur les risques liés au conflit russo-ukrainien
Zoom sur les outils de visioconférence
4️⃣
Une tendance forte à la professionnalisation et spécialisation des cybercriminels
Ce phénomène s’explique principalement par les gains financiers générés par les attaques (ROI pouvant représenter 750% selon le cabinet Wavestone). Les attaques sont préparées 29 jours à l’avance en moyenne et durent moins de 10 minutes (Etude Thales 2020).
5️⃣
Une explosion de la menace liée aux rançongiciels
Entre 2019 et 2020, le nombre d’attaques par rançongiciels en France a été multiplié par 4. Entitées touchées en premier lieu par les rançongiciels, les TPE, PME et ETI représentent plus de la moitié des victimes en 2021 (+53% par rapport à 2020). Les principaux secteurs touchés sont ceux de la santé et de l’éducation suivi par les collectivités territoriales et les ESN.
Zoom sur les chiffres clés des rançongiciels (rapport ANSSI 2021)
6️⃣
La cybersécurité est plus un enjeu d'organisation / sensibilisation des salariés qu'un enjeu technique ou technologique
Le phishing reste le premier vecteur d’attaque dans les entreprises : ~75% des entreprises ont subies une attaque de ce type en 2021 (baromètre CESIN). Aller plus loin en cliquant ici.
7️⃣
Des budgets cybersécurité en hausse pour faire face
Les budgets cybersécurité sont en hausse en 2021 pour 70% des entreprises françaises (contre 57% en 2020). Cette augmentation vise principalement à financer le recrutement de profils experts et l’acquisition de nouvelles solutions techniques. L’ANSSI recommande de consacrer entre 5 et 10% du budget informatique à la cybersécurité.
💡
Autres chiffres clés

1.2 Les principaux risques cyber à connaître

Quels sont les risques ?

Cliquez sur les flèches pour obtenir le détails de chaque risque cyber :

Phishing ou spear-phishing (hameçonnage) (~75% des attaques)
Ransomware (rançongiciels) ou cryptolocker
La fraude ou arnaque au président
Ddos (attaque par déni de service)
Trahison d'un collaborateur
Man in the middle
La fraude au client ou fournisseur
Cybersquatting (ou Domain Name Grabbing)
😠
Qui sont les cyber attaquants ?

Contrairement aux idées reçues, le profil type du cyber attaquant n'est généralement pas un "jeune geek isolé" mais plutôt un profil expert et salarié d'organisation :

  • Organisations étatiques (espionnage industriel, déstabilisation, renseignement stratégique,...) : près de la moitié des groupes de cyberattaques sont parrainés voir encadrés par des Etats selon une étude Thales 2019.
  • Organisations indépendantes bien structurées et professionnalisées (Par idéologie cyber activiste, ou volonté de gagner argent cybercriminel grâce à espionnage industriel et des rançons…) : ATK91, ATK13, Anonymous,...
Pour aller plus loin sur ce sujet consultez les conclusions de l'étude sur les typologies de profils des cyber attaquants réalisé par Thalès en 2019 👉 ici
NB : La saisonnalité des attaques
NB : le supermarché du malware.
NB : les ordinateurs zombies

1.3 Exemples de cas récents

4 entreprises attaquées

EntrepriseNature de l'attaqueConséquence Opérationnelle
Une PME qui réalise une part importante de son CA en ligne

Attaque directe : Rançon logiciel / ransomware : un mail de phishing a permis à un attaquant d’accéder au réseau et de crypter les données paralysant ainsi l’activité.

Paralysie des ventes & des livraisons pendant une semaine durant un pic d’activité (Noël).

Une start-up food

Attaque directe : Trahison d’un collaborateur : blocage total du système d’information de l’entreprise.

Paralysie de l’activité de production pendant 4 jours, nécessité de refonte de l’ensemble du système.

Une start-up tech

Attaque indirecte : l’entreprise a subi un vol de données clients issus d’une faille en provenance du prestataire de la solution e-Commerce (Shopify). Ces données ont ensuite été publiées sur un forum public.

Une campagne de phishing ciblée envers les clients et un impact fort sur l’image de marque de l’entreprise.

Toyota

Attaque par rançongiciel en mars 2022 d’un fournisseur de composants électroniques et plastiques du plus grand constructeur automobile mondial.

Arrêt de la production de toutes les usines japonaises du groupe (14 usines, 28 lignes de production) pendant 1 jour. Impact sur la production de 13k véhicules.

La Poste Mobile

Attaque par rançongiciel le 4 juillet 2022 des services administratifs de l’opérateur de téléphonie mobile.

Fermeture du site web et de l’espace client pendant plusieurs jours et divulgation de données personnelles de 2m de clients (noms, adresses, numéros de téléphone…)

Retour au sommaire