La prévention des cyberattaques est en passe de devenir une préoccupation croissante, quels que soient le secteur d’activité et la taille de l’organisation. Toutes les conditions sont réunies pour que le sujet prenne encore davantage de place : numérisation accélérée des activités, tensions géopolitiques à l’échelle internationale ou encore développement de nouvelles formes de cyberattaques en lien avec les évolutions technologiques actuelles.
Quelle est actuellement l’ampleur des cyberattaques et quels sont les secteurs d’activité les plus touchés ? Quelles sont les motivations des attaquants ? À quoi s’attendre dans les années à venir en matière de cybersécurité et comment se protéger ? OverSOC fait le tour du sujet.
Cyberattaques : quelles sont les tendances actuelles ?
Sophistication et industrialisation des cyberattaques
Dans son rapport portant sur la cybersécurité au premier semestre 2023, Check Point Research note une intensification des activités cybercriminelles au niveau mondial, avec une hausse de 8 % des cyberattaques hebdomadaires sur le deuxième trimestre de l’année 2023. De son côté, l’assureur Allianz note une forte augmentation des victimes de ransomware au niveau mondial au cours du premier trimestre 2023.
Si le phishing et l’utilisation de comptes volés restent la porte d’entrée principale des attaquants, les cyberattaques gagnent en sophistication : renouvellement des techniques d’usurpation avec les deepfakes et deepvoices créés par IA, recours aux fileless malwares (malwares sans fichiers) ou malwares polymorphes, etc. Cette sophistication croissante rend les cyberattaques plus difficiles à détecter. D’autre part, l’automatisation et le développement de « Ransomwares as a Service » ouvrent la possibilité de mener des cyberattaques de manière industrielle.
Répartition des cyberattaques par secteur d’activité : quelques chiffres clés
Si aucun secteur d’activité n’est épargné par les cyberattaques, quelques tendances se dessinent. Dans son rapport « ENISA Threat Landscape 2023 » publié en octobre 2023, l’Agence de l’Union européenne pour la cybersécurité indique que sur la période juillet 2022-juin 2023, les secteurs d’activité les plus touchés sont l’administration publique (19 %), la santé (8 %), les infrastructures numériques (7 %), l’industrie manufacturière (7 %), les transports, les fournisseurs de services numériques, la banque et la finance. À noter : 11 % des incidents relevés par l’ENISA ne ciblent aucun secteur en particulier.
Quels sont les secteurs d’activité les plus vulnérables aux cyberattaques ?
Banque et finance
Le secteur bancaire et financier est particulièrement attractif pour les cybercriminels, avec des promesses de gains élevés. L’accroissement de la surface d’exposition des établissements, la digitalisation accrue de ces secteurs ou encore les interconnexions entre différentes infrastructures ou systèmes de paiement en font des cibles de choix.
Dans une étude publiée en juin 2023, l’éditeur de logiciels Sophos indique que les attaques par rançongiciel à l’encontre du secteur bancaire et financier ont augmenté de 64 % en 2023.
Établissements de santé et services médicaux
Les cyberattaques visant le secteur de la santé sont susceptibles de perturber profondément les capacités opérationnelles des établissements et de mettre en danger la vie des patients. Les données de santé sont également particulièrement convoitées.
En 2022, 432 structures des secteurs santé et médico-social ont déclaré au moins un incident de sécurité au CERT Santé, ce qui représente une augmentation de 33 % par rapport à l’année 2021 (source : Agence du numérique en santé).
E-commerce
L’essor exponentiel de la vente en ligne fait des sites de commerce électronique des cibles intéressantes pour les cybercriminels, qui cherchent à compromettre la sécurité des transactions en ligne et à dérober les informations de paiement des clients.
Opérateurs d’importance vitale (OIV)
D’une manière générale, les organisations occupant un rôle crucial dans le fonctionnement et la sécurité d’un pays sont particulièrement visées. Aux secteurs bancaire et sanitaire s’ajoutent par exemple ceux de l’énergie, des transports ou encore de l’assainissement. Et les cyberattaques ne visent pas uniquement les opérateurs d’importance vitale eux-mêmes, mais également leurs sous-traitants, prestataires et fournisseurs.
Collectivités territoriales
Les cyberattaques menées à l’encontre de collectivités territoriales peuvent perturber de multiples pans de la vie quotidienne et toucher de nombreux citoyens. De janvier 2022 à juin 2023, l’ANSSI a traité 187 incidents cyber affectant les collectivités territoriales, soit 17 % de l’ensemble des incidents traités par l’agence sur cette même période.
Quelles sont les principales motivations des attaquants ?
Motivations financières
Comme l’indique Wavestone dans le rapport 2023 de son CERT, « la motivation principale des attaques reste le gain financier », avec une domination des ransomwares/rançongiciels. Si la diffusion de rançongiciel est l’une des activités les plus connues des cybercriminels pour générer des gains financiers, d’autres techniques sont également utilisées : vol et revente de données personnelles ou bancaires, fraudes, arnaques diverses, activités de cryptominage, etc. L’ANSSI indique d’ailleurs que les revenus générés par les activités de cryptominage peuvent être réinvestis par les acteurs malveillants dans l’amélioration de leurs capacités.
Espionnage
Les cyberattaques menées à des fins d’espionnage informatique nécessitent des moyens financiers, matériels et humains de grande ampleur. Elles sont mises en œuvre par des États cherchant à espionner d’autres États ou de grands groupes internationaux (industriels, par exemple), dans le cadre de campagnes d’espionnage au long cours.
Sabotage et déstabilisation
Le contexte géopolitique actuel fournit un terreau fertile au développement de cyberattaques à des fins de déstabilisation : attaques par déni de service distribué (DDoS), défigurations de sites Internet, exfiltration et divulgation de données, etc. Ce contexte oblige également les acteurs des secteurs de l’énergie et des télécommunications à maintenir un haut niveau de vigilance quant à la sécurité de leurs infrastructures informatiques.
Le ransomware, mode opératoire privilégié des attaquants
Le ransomware a été identifié par l’ENISA comme la principale forme de cyberattaque, ciblant tous les secteurs. Le schéma de fonctionnement des ransomwares est désormais bien connu : un programme malveillant est diffusé pour chiffrer des données qui ne seront rendues à leur propriétaire qu’en échange d’une rançon. L’efficacité de ces programmes malveillants en fait l’un des modes opératoires privilégié des cybercriminels, avec noms désormais célèbres : Petya, WannaCry, Lockbit, etc.
Les ransomwares sont désormais particulièrement sophistiqués et capables de perturber le fonctionnement de n’importe quelle structure, quelle que soit sa taille et son secteur d’activité. Des plateformes de Ransomwares-as-a-Service (RaaS) se sont développées ces dernières années. Le principe ? Fournir à des acteurs malveillants « juniors » une campagne de ransomware prête à l’emploi. C’est par exemple ce que propose le groupe Conti.
Quelques exemples de cyberattaques par secteur d’activité
Cyberattaques dans les secteurs banque et finance
- Banque centrale du Danemark, janvier 2023 (DDos)
- Banque centrale de Malte, juin 2023 (défiguration, DDoS)
- Banque européenne d’investissement, juin 2023 (DDoS)
Cyberattaques visant les établissements de santé
- Centre hospitalier de Dax, février 2021 (coûts totaux estimés à 2,3 millions d’euros)
- Centre hospitalier de Versailles, décembre 2022
- CHRU de Brest, mars 2023
Centre hospitalier sud francilien (CHSF), août 2022
La cyberattaque a touché l’ensemble du système d’information du CHSF, à l’exception de la téléphonie et du fonctionnement du bâtiment. La phase aiguë de la crise a duré deux mois. Afin de maintenir la prise en charge des patients, le Centre hospitalier a fait le choix de restaurer son système d’information en le sécurisant. Cette restauration du SI – avec l’appui de la cartographie – s’est faite progressivement et en mois de 60 jours. L’établissement est entré au 1er janvier 2023 dans une phrase de reconstruction de son système d’information.
Quelles sont les mesures de sécurité adaptées à chaque secteur d’activité ?
Des recommandations sectorielles
Les cyberattaques étant de plus en plus opportunistes, aucune entité ne peut faire l’économie d’une protection cyber. Les fondamentaux de la cybersécurité sont globalement les mêmes pour tous les secteurs d’activité : cartographier son système d’information, renforcer l’authentification, superviser les événements sur son système d’information, détecter et corriger les vulnérabilités de son SI, lister ses services critiques, etc. Protéger l’ensemble de sa chaîne d’approvisionnement est valable pour l’ensemble des secteurs, en particulier l’industrie, la banque et la finance.
Cependant des recommandations sectorielles en matière de cybersécurité peuvent s’appliquer. L’Agence du numérique en santé et son CERT Santé accompagnent par exemple les établissements des secteurs sanitaire et médico-social dans leur veille sur les cybermenaces et la réponse à incident.
Certains secteurs d’activité sont également soumis à des obligations réglementaires spécifiques en matière de cybersécurité. C’est le cas par exemple du règlement DORA (Digital Operational Resilience Act) pour le secteur financier. Des conseils spécifiques peuvent être donnés aux structures de plus petite taille. C’est ce que fait l’ANSSI dans son guide de cybersécurité à destination des TPE et PME.
Protéger ses données, un impératif en matière de cybersécurité
La protection des données est au cœur des stratégies de cybersécurité, peu importe finalement le secteur d’activité. La migration massive vers le cloud a profondément changé le stockage et le partage de données. Elle a également modifié la manière dont ces données sont sécurisées. La majeure partie des initiatives de cybersécurité sont tournées vers cet objectif : protéger les données. Le chiffrement et la classification des données sont aujourd’hui considérés comme deux pratiques incontournables pour y parvenir.
Évolution des menaces et anticipation : à quoi s’attendre dans les années à venir ?
Quelles sont les futures cibles des cyberattaques ?
D’après Wavestone, les structures affectées par des cyberattaques sont de plus en plus petites. Les grandes organisations ayant déployé d’importantes capacités de détection et de réponse ces dernières années, les acteurs malveillants déploient leurs efforts en direction de cibles moins bien protégées (TPE, PME et ETI, par exemple).
L’amélioration de la protection des grandes entreprises a également pour effet d’inciter les cybercriminels à viser différents maillons de la supply chain (fournisseurs, sous-traitants, acteurs du numérique, etc.) pour atteindre une grande cible. La sécurisation de la supply chain est appelée à devenir un enjeu majeur, tout comme la cybersécurité de l’industrie, un secteur qui connaît actuellement un pic de cyberattaques.
Prévention : comment rester proactif face aux menaces émergentes ?
La Cyber Threat Intelligence (CTI) joue un rôle clé pour aider les organisations à chercher de manière proactive des menaces inconnues et à identifier des comportements suspects. Les organisations peuvent ensuite mettre en corrélation ces données avec les vulnérabilités de leur système d’information. Cette démarche nécessite donc de bien connaître son SI, de le cartographier et de le surveiller en permanence. À la clé : une meilleure protection, mais aussi une meilleure détection couplée à une réduction du temps de réaction lorsqu’une cyberattaque survient.
La liste des secteurs d’activité les plus touchés par les cyberattaques ne cesse de s’allonger : banque et finance, santé, e-commerce, opérateurs d’importance vitale, collectivités territoriales, etc. Chaque secteur d’activité doit aujourd’hui prendre conscience de ses vulnérabilités et faire de la cybersécurité une question prioritaire.
Vous aimeriez savoir comment OverSOC peut vous aider à protéger votre organisation ? Contactez-nous.
