Dix ans après sa première édition, le mois européen de la cybersécurité (ECSM), évènement initié par l’ENISA, agence de cybersécurité européenne, afin de doper les campagnes de sensibilisation à la cyber, continue d’être décliné dans plus d’une vingtaine de pays, dont la France. L’occasion pour de nombreux spécialistes de faire le point sur le niveau de maturité des acteurs nationaux. Tour d’horizon des études les plus récentes.

Les cyber-attaques font désormais parties du (triste) paysage pour les entreprises et les particuliers, en France comme pour le reste de l’Europe. Le mois européen de la cybersécurité, qui articule évènements et campagnes de sensibilisation, continue donc d’avoir tout son sens, même une décennie après avoir été lancé.

L’attention du public a évidemment été attirée ces dernières semaines par des attaques médiatiques, comme celle de l’hôpital de Corbeil-Essonnes, dont les malheurs sont devenus comme des épisodes d’une série à suspens. Pour la ville de Caen, obligée de repasser au format papier après avoir été la cible le 26 septembre d’une cyberattaque également, et d’autres collectivités du Calvados, l’aide de la gendarmerie a également été demandée pour former agents et collaborateurs au plus vite.

Ces problèmes majeurs ne sont toutefois que la partie émergée de l’iceberg, comme le rappelle dans un communiqué la société Netskop, en soulignant qu’actuellement une « campagne malveillante massive vise les entreprises et les particuliers du monde entier, leur demandant de télécharger des informations afin de procéder au plus vite au paiement d’une facture ou d’une amende urgente ». Moins médiatisée, cette attaque « au filet » plutôt qu’au harpon fait pourtant elle aussi partie du paysage. « Cette campagne est le parfait exemple de comment les cybercriminels recherchent constamment de nouvelles façons de monétiser les comptes compromis. […] Pour augmenter les chances de succès, dans ce cas précis, les hackers ont déployé « Agent Tesla », un malware-as-a-service disponible sur le marché depuis 2014, qui, au fil des années, a montré une grande flexibilité d’utilisation pour les groupes criminels. » détaille ainsi Paolo Passeri, Cyber Intelligence Principal chez Netskope par e-mail.

Une maturité très inégale selon les sujets

Après plus d’une décennie de chocs amenant des prises de conscience diverses, les français sont-ils cependant mieux préparés à vivre cette situation ? L’avis des experts est mitigé.

Ainsi, Proofpoint et l’institut Cybersecurity at MIT Sloan, un groupe de recherche interdisciplinaire, ont récemment publié un rapport sur les perspectives cyber de 600 membres de conseils d’administration de douze pays, dont la France. Dans l’Hexagone justement, les dirigeants semblent mieux alignés avec leurs responsables sécurité que dans d’autres pays. Par exemple 78 % des conseils d’administration et 80 % des RSSI, sont convaincus du risque imminent pour leur entreprise (contre 65% et 48% respectivement en moyenne). Mais si 76 % des dirigeants déclarent discuter de cette question sensible au moins une fois par mois, ils sont tout de même 40% à ne tout simplement pas se sentir prêt à affronter une cyberattaque, dont ils savent qu’elle va arriver très prochainement. C’est à peine mieux que les 47% à l’échelle mondiale.

De son côté, Talos, l’entité de recherche cyber de l’entreprise Cisco, s’est plutôt intéressée aux usages des français en général, en mettant l’accent en particulier sur leurs pratiques professionnelles après deux ans d’expérience de « travail hybride ». En interrogeant un échantillon représentatif de 1000 personnes, l’étude souligne que près de la moitié des Français (45 %) ne sont pas inquiets face aux cybermenaces et que les Français de 16 à 24 ans sont les moins préoccupés par ces risques. Elle note par ailleurs que 92% des Français ont déjà passé un appel professionnel depuis leur appareil personnel et qu’encore 39 % des Français utilisent régulièrement les réseaux internet publics à la fois pour un usage personnel et dans le cadre du travail ; autant de pratiques considérées comme problématiques pour la sécurité des entreprises.

Tout en rappelant que 54 % des entreprises françaises ont rapporté des cyberattaques en 2021, les résultats de l’étude soulignent aussi que 23 % de la population ne connait tout simplement pas le principe d’authentification multifactorielle, pourtant de plus en plus répandu.

La cyber-assurance toujours en question

A l’occasion de cette édition 2022 du mois européen de la cyber, les regards se sont également beaucoup tournés vers le sujet de la cyber assurance. Les annonces récentes en France sur le sujet ont été abondamment discutées et une vision complète de ce qu’implique (ou non) la cyber-assurance parait toujours aussi nécessaire. Sur ce sujet, Vitreous World a analysé pour le compte de la société Gigamon, les témoignages de 1020 décideurs IT et sécurité dans six pays (Etats-Unis, Royaume-Uni, France, Allemagne, Australie et Singapour). Il en ressort que les avis sont très partagés chez les professionnels avec notamment 50% exactement des responsables de la sécurité interrogés en France qui estiment que le marché de la cyber-assurance a pour effet pervers d’exacerber la crise des ransomwares. Pourtant, de manière générale, 63% des DSI et RSSI confirment que la cyber-assurance fait partie de la stratégie de cybersécurité de leur entreprise. Et 85% déclarent être doté d’une assurance dédiée aux cyber-risques. Cela va même plus loin pour 22% des répondants qui admettent que l’intégralité de leur stratégie de sécurité repose sur la cyber-assurance, sans autres dispositifs complémentaires.

Autant de chiffres qui semblent confirmer l’importance non seulement d’un travail de pédagogie, mais aussi la complexité grandissant des sujets cyber, qui nuit à l’harmonisation nécessaires des pratiques.

En particulier, le contexte géopolitique extrêmement tendu est un facteur notoirement aggravant pour la situation des particuliers et des entreprises, et entraine souvent des regains de confusion. Les exemples se multiplient d’ailleurs, bien au-delà des craintes initiales provoquées par la guerre en Ukraine. Ainsi, comme le rappelle la société Trellix, Taiwan a été récemment touché par une série de cyberattaques faisant suite à la visite de Nancy Pelosi, présidente de la chambre des représentants des Etats-Unis, en août dernier sur l’île. Selon les spécialistes de la société, « ces attaques ont été menées par un groupe d’hacktivistes chinois sous une fausse bannière, « APT27_Attack », qui prétendait être l’État-nation bien connu APT27 ». Cette capacité de confusion reste d’ailleurs très courante chez les criminels, comme le souligne l’entreprise en prenant un autre exemple : « le célèbre groupe de hackers REvil, considéré mort depuis son arrestation en janvier 2022, semble refaire surface. Bien qu’il reste à voir si cette réapparition de REvil inclut ses membres les plus agressifs possédant les mêmes compétences techniques ou s’il s’agit simplement d’un groupe d’imitateurs reprenant l’ancien nom. ». Autant d’actualités qui vont nourrir les discussions sur la cybersécurité tout au long de ce mois d’octobre.