Dix ans après sa première édition, le Mois européen de la cybersécurité (ECSM), événement lancé par l’ENISA, l’Agence européenne de la cybersécurité, pour promouvoir des campagnes de sensibilisation à la cybersécurité, continue de se tenir dans plus de vingt pays, dont la France . L’occasion pour de nombreux experts de constater le niveau de maturité des acteurs nationaux. Tour d’horizon des dernières études.
Les cyberattaques font désormais partie du (triste) paysage des entreprises et des particuliers, tant en France que dans le reste de l’Europe. Le Mois européen de la cybersécurité, qui articule événements et campagnes de sensibilisation, continue donc de prendre tout son sens, même une décennie après son lancement.
L’attention du public a clairement été attirée ces dernières semaines par des attaques médiatiques, comme celle sur l’hôpital de Corbeil-Essonnes, dont le sort est devenu comme un épisode d’une série policière. Pour la ville de Caen, qui a été contrainte de revenir au format papier après avoir été la cible d’une cyberattaque le 26 septembre, et d’autres collectivités du Calvados, l’aide de la gendarmerie a également été sollicitée pour former plus rapidement agents et collaborateurs.
Ces problèmes majeurs ne sont toutefois que la partie émergée de l’iceberg, comme le rappelle Netskop dans un communiqué, notant qu’il existe actuellement une « campagne malveillante massive ciblant les entreprises et les particuliers à travers le monde, leur demandant de télécharger des informations afin de procéder comme rapidement possible avec paiement d’une facture ou d’une amende immédiate ». Moins médiatisée, cette attaque « net » plutôt qu’au harpon fait pourtant aussi partie du paysage. « Cette campagne est un parfait exemple de la façon dont les cybercriminels recherchent en permanence de nouvelles pour monétiser les comptes compromis. […] Oui pour augmenter les chances de succès, dans ce cas précis, les hackers ont déployé « Agent Tesla », un malware-as-a-service disponible sur le marché depuis 2014, qui au fil des années a montré une grande souplesse d’utilisation par les groupes criminels, explique Paolo Passeri, Chief Cyber Intelligence chez Netskope par e-mail.
Une maturité très inégale selon les sujets
Après plus d’une décennie de secousses qui ont conduit à des prises de conscience différentes, les Français sont-ils mieux préparés à faire face à cette situation ? L’avis des experts est mitigé.
Ainsi, Proofpoint et le Cybersecurity Institute du MIT Sloan, un groupe de recherche interdisciplinaire, ont récemment publié un rapport sur les perspectives cyber de 600 membres du conseil d’administration de douze pays, dont la France. En France, les dirigeants semblent mieux alignés avec leurs responsables de la sécurité que dans d’autres pays. Par exemple, 78% des conseils d’administration et 80% des RSSI sont convaincus du risque imminent pour leur entreprise (contre respectivement 65% et 48% en moyenne). Mais si 76% des dirigeants déclarent discuter de ce sujet sensible au moins une fois par mois, c’est tout de même 40% qui ne se sentent tout simplement pas préparés à faire face à une cyberattaque dont ils savent qu’elle arrivera très prochainement. C’est à peine mieux que 47% dans le monde.
De son côté, Talos, la cyber-recherche de Cisco, s’est davantage focalisée sur l’usage du français en général, avec un accent particulier sur leur pratique professionnelle après deux ans de « working hybrid ». En examinant un échantillon représentatif de 1 000 personnes, l’étude met en évidence que près de la moitié des Français (45%) ne sont pas concernés par les cybermenaces et que les Français âgés de 16 à 24 ans sont les moins concernés par ces risques. Il note également que 92 % des Français ont déjà passé un appel professionnel depuis leur appareil personnel et que 39 % des Français utilisent régulièrement les réseaux Internet publics à des fins personnelles et professionnelles ; toute pratique considérée comme problématique pour la sécurité de l’entreprise.
Rappelant que 54% des entreprises françaises ont signalé des cyberattaques en 2021, les résultats de l’étude soulignent également que 23% de la population ne connaissent tout simplement pas le principe de l’authentification multifacteur, pourtant de plus en plus répandue.
La cyber-assurance toujours en question
A l’occasion de cette édition du European Cyber Month 2022, les regards se sont également fortement tournés vers le sujet de la cybersécurité. Les annonces récentes en France sur ce sujet ont été largement débattues et une vision complète de ce que la cyber-assurance inclut (ou n’inclut pas) semble toujours nécessaire. Sur ce sujet, Vitreous World a analysé les témoignages de 1020 décideurs IT et sécurité dans six pays (US, UK, France, Allemagne, Australie et Singapour) pour le compte de Gigamon. Elle montre que les avis sont très partagés parmi les professionnels, avec exactement 50% des responsables sécurité interrogés en France estimant que le marché de la cyberassurance a pour effet pervers d’aggraver la crise des ransomwares. Cependant, dans l’ensemble, 63 % des DSI et RSSI confirment que la cyberassurance fait partie de la stratégie de cybersécurité de leur entreprise. Et 85% déclarent avoir une assurance dédiée aux risques cyber. Cela va encore plus loin puisque 22 % des répondants admettent que toute leur stratégie de sécurité repose sur la cybersécurité, sans aucun autre dispositif complémentaire.
Autant de chiffres qui semblent confirmer l’importance non seulement du travail pédagogique, mais aussi de la complexité croissante des sujets cyber, préjudiciable à la nécessaire harmonisation des pratiques.
En particulier, le contexte géopolitique extrêmement tendu est un facteur notoirement aggravant de la situation des particuliers et des entreprises, et conduit souvent à un regain de confusion. Les exemples se multiplient, bien au-delà des craintes initiales suscitées par la guerre en Ukraine. Ainsi, comme le rappelle la société Trellix, Taïwan a récemment été frappé par une série de cyberattaques après la visite de Nancy Pelosi, la présidente de la Chambre des représentants des États-Unis, sur l’île en août dernier. Selon les experts de la société, « ces attaques ont été menées par un groupe d’hacktivistes chinois sous le faux drapeau, ‘APT27_Attack’, qui prétendait être l’État-nation bien connu d’APT27 ». Cette capacité à confondre est encore très courante chez les criminels, comme le souligne l’entreprise en prenant un autre exemple : « Le célèbre groupe de hackers REvil, considéré comme mort depuis son arrestation en janvier 2022, semble refaire surface. Bien qu’il reste à voir si cette résurgence de REvil comprend ses membres les plus agressifs avec les mêmes compétences techniques ou s’il s’agit simplement d’un groupe d’imitateurs portant l’ancien nom. « . Autant d’actualités pour alimenter les discussions autour de la cybersécurité durant ce mois d’octobre.