À l'occasion des Assises de la Sécurité, le cabinet de conseil Wavestone révèle les résultats de son étude1 consacrée aux incidents de Cybersécurité qu'il a géré dans les grands groupes français. Si l'année 2022 a été riche en matière de cyberattaques (contexte géopolitique en Ukraine, maintien de la présence des grands groupes d'attaquants), le contexte n'a pas foncièrement transformé la menace en France. Cependant, elle persiste : les attaquants ont du temps, de l'argent, cherchent toujours de nouveaux moyens d'arriver à leurs fins et affichent aujourd'hui plus de capacités à se spécialiser, s'organiser et à monter en expertise.

Les principaux enseignements de nos équipes de réponse à incident sur l'année passée :

  • La motivation principale des attaques reste financière et le moyen d'extorsion le plus utilisé est toujours le ransomware (51% des incidents gérés).
  • L'utilisation frauduleuse de comptes valides, volés notamment par le phishing, restent la porte d'entrée principale des attaquants.
  • Les grandes entreprises ont gagné en maturité cyber, notamment sur la rapidité de la détection des attaques.
  • Les attaques restent largement opportunistes (76% de notre échantillon) sans volonté de cibler spécifiquement un secteur ou une entreprise.
  • Les acteurs menaçants se professionnalisent, se structurent toujours plus et les révélations récentes montrent l'avènement de vraies PME du cybercrime.

Les attaquants restent motivés principalement par l'argent

Le gain financier reste la motivation première des attaquants qui utilisent le ransomware en priorité. Les attaquants n'hésitent pas à combiner les méthodes d'extorsion pour maximiser le succès du paiement de la rançon. Par exemple, les groupes CONTI et Lockbit pratiquent désormais quasi-systématiquement la « double extorsion » : ils combinent la paralysie du SI à la menace de publication des données volées. Parfois, les attaquants font aussi pression directement sur l'écosystème de la victime, au travers de menaces téléphoniques, de mails, et d'attaques DDoS, instrumentalisant ainsi les partenaires économiques de la victime.

Les attaquants pénètrent dans les systèmes d'information majoritairement en volant des comptes utilisateurs valides

Les accès à ces comptes sont obtenus par la récupération de mots de passe fuités, l'achat de base de données sur le darknet, en exploitant la faiblesse de certains mots de passe, et par le phishing qui exploite les manques en matière d'hygiène cybersécurité.

Aujourd'hui, selon notre Cyber benchmark de la maturité des entreprises, 90% des entreprises ont compris qu'il fallait déployer un programme de sensibilisation, mais seulement 15% d'entre elles le font de manière professionnalisée, en adaptant les messages et les outils à différentes populations. Il faut combiner les efforts vers les collaborateurs à des solutions technologiques pour maximiser la protection.

Les cybercriminels opèrent toujours majoritairement de manière opportuniste

Si dans certains cas, plus rares, les groupes d'attaquants construisent des attaques ciblées, complexes et en plusieurs étapes, par exemple, en visant l'appropriation de données pour préparer une attaque d'envergure sur une autre cible, les cybercriminels opèrent encore majoritairement de manière opportuniste (76% des incidents gérés), c'est à dire sans volonté de cibler spécifiquement un secteur ou une entreprise.

À noter que des cas de malveillance interne sont toujours recensés (9% en 2022). Ils sont rarement rendus publics et cette absence de visibilité peut diminuer la vigilance des entreprises qui priorisent la prise en compte d'une menace externe.

La menace se professionnalise et se structure

D'abord, les groupes d'attaquants, et en particulier les groupes qui opèrent sur le modèle ransomware, sont désormais organisés comme de véritables entreprises (concrétisés en 2022 par les éléments qui ont été révélés sur le fonctionnement du groupe CONTI) avec par exemple des départements RH, achats et de formation. Ils se dotent d'un outillage sophistiqué et sont créatifs pour maximiser la rentabilité de leurs activités. Ces groupes font d'ailleurs de plus en plus l'expérience des mêmes problématiques business que les entreprises : problème de recrutement,
de gestion des conflits, ou encore de gestion des paiements notamment.

Ensuite, l'écosystème de la menace aussi se structure. Des fournisseurs de services criminels se multiplient et apportent un soutien matériel et numérique aux groupes d'attaquants (fourniture d'accès piraté, de logiciels d'attaques, services de blanchiments…).

Les grandes entreprises progressent dans leur capacité de protection et de détection mais les structures de taille intermédiaire restent exposées.

Si toute organisation peut être la cible de cyber attaques, les grandes entreprises continuent à progresser en maturité. Pour preuve, le temps de détection d'une attaque, est passé de 94 jours en 2020 à 35 jours en 2022. Les grandes entreprises sont ainsi mieux équipées et mieux protégées. À plusieurs occasions cette année, nos équipes ont été mobilisées de manière préventive et ont pu interrompre des attaques en gestation.

Les grandes organisations doivent prendre en compte les nouvelles méthodes d'attaques en train d'émerger et en particulier celles visant le cloud, l'utilisation de technologies de malware intelligents capable d'adapter leurs comportement aux environnements d'analyse, le contournement de l'authentification forte (en particulier via l'envoi massif de notification sur les téléphones qui forcent les utilisateurs à accepter) et les attaques par les tiers (pour lesquels les échanges de données créent une porte d'entrée simplifiée). La combinaison de mesures innovantes sur ces thèmes avec l'application des basiques de la cybersécurité (correctifs, sauvegardes, gestion des accès, paramétrage,
tests et contrôle rigoureux sur les environnements cloud…) reste nécessaire.

« Même si l'on constate une amélioration de la défense dans les grandes organisations, ces dernières doivent rester vigilantes. En effet, face à l'extrême professionnalisation des organisations des attaquants et à l'invention permanente de nouveaux procédés d'intrusion, il est nécessaire de rester alerte et de maintenir les niveaux d'investissements. » déclare Gérôme BILLOIS, associé en cybersécurité

*Méthodologie : cette étude se base sur les cyber-incidents et les crises gérés par le cabinet Wavestone entre les mois d'octobre 2021 et septembre 2022 : c'est-à-dire 35 attaques, dont 9 crises majeures.

Gérôme Billois, expert cybersécurité et gestion des risques numériques du cabinet Wavestone, se tient à votre disposition pour vous apporter un éclairage

Gérôme BILLOIS, associé cybersécurité, a plus de 20 ans d'expérience dans le conseil en cyber sécurité et gestion des risques numériques. Il est diplômé de l'Institut national des Sciences appliquées de Lyon. Depuis 2001, il a piloté de nombreux projets pour des grands comptes internationaux incluant la définition de stratégie cyber sécurité pour permettre une transformation numérique en toute confiance et le pilotage de programmes de lutte contre la cybercriminalité. Il a animé et participé à des cellules de gestion de crise dans le cadre de cyberattaques.

Gérôme BILLOIS intervient régulièrement dans les médias et la presse (TF1, France 2, BFM, iTélé, France Info, Les Echos, Le Monde…). Il anime également des conférences et donne des cours dans les grandes écoles (INSA, Télécom Sud Paris…).

À propos de Wavestone

Dans un monde où savoir se transformer est la clé du succès, Wavestone s'est donné pour mission d'éclairer et guider les grandes organisations dans leurs transformations les plus critiques avec l'ambition de les rendre positives pour toutes les parties prenantes. Une ambition ancrée dans l'ADN du cabinet et résumée par la signature « The Positive Way ».

Wavestone rassemble plus de 3 000 collaborateurs dans 9 pays. Il figure parmi les leaders indépendants du conseil en Europe.

Wavestone est coté sur Euronext à Paris et labellisé Great Place To Work®.

Plus d'informations sur wwa.wavestone.com // @wavestoneFR

Wavestone
Mélodie LAUQUE

melodie.lauque@wavestone.com
Tel. : + 33 1 49 03 20 00
Wellcom PR Agency
Agathe Billiette :
agathe.billiette@wellcom.fr
Chloé Bencivengo : chloe.bencivengo@wellcom.fr
Marie-Charlotte Fauquette : mariecharlotte.fauquette@wellcom.fr
Tel. : + 33 1 46 34 60 60

Cette publication dispose du service ” 🔒 Actusnews SECURITY MASTER “.
SECURITY MASTER Key : mm6alMWXapmbmJtvZpmabGFraJpimZGVbpWYl5dpa8qacJyRymZpapXKZnBnnGZs
– Pour contrôler cette clé : https://www.security-master-key.com.