C'est maintenant une tradition, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a publié son "panorama de la cybermenace 2024".

Ne vous laissez pas tromper par la date, c'est bien d'un retour sur l'année écoulée dont il est question, pour une publication en 2025.

D'abord pas de grande surprise sur les types de menaces. On trouve cités : les cybercriminels, les attaquants réputés liés à la Russie et les attaquants réputés liées à la Chine.

L'écosystème cybercriminel d'abord : il est le plus gros générateur d’extorsions de rançons, via des fuites de données et des attaques par rançongiciel. C'est une fois de plus le risque majeur qui porte sur tout l'écosystème Français, que ce soit les administrations ou les entreprises. Les plus touchés sont à nouveau les PME/TPE et ETI qui représentent 37% des structures attaquées !

Et les effets sont toujours aussi dévastateurs, puisqu'on parle de conséquences souvent très graves sur leur fonctionnement, leur réputation, voir leur continuité d’activité. Pour parler clairement : en 2024 encore, des entreprises n'ont pas réussi à se remettre de certaines attaques.

Les criminels ne vont pas relâcher leur ciblage des PME/TPE. Parce que contrairement à une idée encore trop souvent répandue, ceux qui sont ciblés en premier sont les plus fragiles, pas les plus gros. Parce que les organisations qui mènent ces attaques fonctionnent comme des entreprises, en cherchant à faire du volume sur ce qui leur demande le moins d'effort.

Parce que j'aime les images parlantes : en cybersécurité comme dans la nature, un prédateur va d'abord attaquer le plus faible dans un troupeau.

Les attaques à but de déstabilisation sont de plus en plus observées. Ici on parle plutôt d'acteurs qui vont chercher à déstabiliser une structure en rendant ses services indisponibles. Parfois "seulement" en saturant ses serveurs, mais on commence à voir des actions plus orientées vers le sabotage. C'est un point d'attention pour les grandes entreprises et les services de l'état, mais les PME/TPE semblent moins exposées a priori.

Les attaques à finalité d’espionnage forment la dernière catégorie. Ici les attaquants recherchent de l'information qui sera utilisée pour tirer un avantage militaire, économique, stratégique ou diplomatique. On pourrait penser que les PME/TPE sont à l'abris, sauf que certaines de ces entreprises sont détentrices de savoirs clés, dans des secteurs hautement exposés. Il serait donc malvenu de se croire à l'abri en se basant uniquement sur la taille de son entreprise.

On notera une attention particulière portée à la "chaine d'approvisionnement", ces logiciels et partenaires tiers dont vous dépendez et qui, trop souvent, ont été la source d'attaques à grande échelle. Oui, être sous-traitant fait porter une responsabilité forte.

L'agence rappelle, une nouvelle fois, que subir une attaque n'est PAS une fatalité. Les solutions de protection existent, et sont souvent liées à la mise en place de bonnes pratiques encore trop souvent négligées. Entre autres :

1. S'assurer que les correctifs de sécurité sont appliqués le plus rapidement possible.
2. Durcir les architectures informatiques pour qu'une machine compromise ne vienne pas servir de point d'entrée à tout le système. Avec une attention toujours portée aux annuaires et autres systèmes sensibles.
3. Disposer de plans de sauvegarde robustes et testés.
4. Disposer de plans de continuité et de reprise d'activité validés et régulièrement testés (en gros, s'assurer que même attaqué, on va vite relancer l'activité).
5. Mettre en place des systèmes de détection, pour ne pas être le dernier au courant en cas de compromission.

Une bonne nouvelle qui donne des raisons d'espérer : l'écosystème de la protection en cybersécurité en France est loin d'être ridicule et ne cesse de se renforcer.

De plus, la mise en place prochaine du projet de loi visant à transporter la directive NIS 2 va venir augmenter notre niveau de résilience collectif.

N'hésitez pas à me contacter pour échanger sur ces sujets !

Surtout, lisez le rapport, c'est un passage obligé.