Cyber attaques en 2022 : tous les signaux sont au rouge pour toutes les entreprises

Intégrer la cyber sécurité dans son budget doit être un passage obligé pour toutes les entreprises en 2022 si elles veulent éviter un ralentissement de leur activité voire un arrêt total.  Côté TPE et PME françaises, la situation n’apparaît pas rassurante en ce début d’année. Un dirigeant de TPE PME sur cinq déclare avoir subi une ou plusieurs cyber attaques ou tentatives de cyber attaques en 2021. 

Sensibilisation des PME et des TPE

La Confédération des petites et moyennes entreprises (CPME) se montre préoccupée. C’est ce sur quoi insiste l’enquête qu’elle a menée et publiée fin décembre. L’organisation patronale a interrogé 1 178 de ses adhérents, dirigeants de TPE-PME, entre le 18 et le 30 novembre 2021 via un questionnaire en ligne.

Or, malgré la probabilité grandissante d’une attaque informatique, à peine 1 dirigeant de TPE PME sur 3 (29%) sensibilise ses salariés au risque des cyber attaques. Côté assurance, seulement 1 entreprise adhérente à la CPME sur 5 (22%) dispose d’un contrat en cas de cyber attaque. Les PME sont toutefois mieux protégées que les TPE, avec 34% pour les premières ayant un contrat contre 16% pour  les secondes.

Ce manque de préparation des PME et TPE est d’autant plus préoccupant que ces entreprises constituent la grande masse (99,9%) des entreprises françaises et qu’elles apparaissent très vulnérables. On dénombre 3 millions de TPE et 140 000 PME en France.

Au minimum disposer de sauvegardes de ses données

Consciente du risque, l’Anssi (l’autorité nationale en matière de sécurité et de défense des systèmes d’information) a notamment publié un guide spécifique à destination des TPE et PME. Ce guide « La cybersécurité pour les TPE/PME en 12 questions » rappelle les bonnes pratiques à mettre en œuvre. Un point clé que tous les professionnels soulignent est la nécessité de disposer de sauvegardes de ses données et de ses applications afin de pouvoir redémarrer même en ayant perdu les informations des derniers jours.

Au niveau mondial, la prise de conscience émerge. Deux responsables sur trois (69%) interrogés par le cabinet PwC prévoient une  augmentation de leur budget de cyber sécurité en 2022. Toutefois, ces augmentations paraissent encore de faible ampleur. Seulement 1 répondant sur 4 annonce une augmentation supérieure à 10% et 1 autre répondant sur 4 prévoit une augmentation entre 6% et 10%. L’enquête a été menée auprès de 3 602 dirigeants, responsables de la technologie et de la sécurité à travers le monde, entre juillet et août 2021. «  L’année 2021 s’annonce comme l’une des pires jamais enregistrées en matière de cyber sécurité avec des attaquants de plus en plus sophistiqués » soulignait alors PwC.

Dans le paysage complexe des attaques informatique, c’est la menace des ransomwares, ou rançongiciels, qui inquiète de plus en plus les décisionnaires informatiques. Cette menace devrait même être mise sur le même plan que le terrorisme, selon deux responsables informatiques sur trois. C’est ce qu’affirme l’étude internationale réalisée par Venafi auprès de 1500 décisionnaires informatiques.

Des attaques par rançonnage de plus en plus répandues

Le risque de ce type d’attaque apparaît de plus en plus répandu. Plus des deux tiers (67%) des personnes interrogées par Venafi et issues d’organisations comptant plus de 500 collaborateurs, ont déjà subi une attaque par rançongiciel au cours des 12 derniers mois. Cette valeur monte à 80% au sein de grandes structures comptant entre 3000 et 5000 employés.

Un responsable sur trois se dit prêt à payer la rançon exigée par les pirates informatiques. Mais la moitié d’entre eux (57%) changerait d’avis s’il fallait annoncer publiquement leur décision de payer. Or, aux Etats-Unis, une proposition de loi du Sénat américain prévoit une disposition qui obligerait les entreprises à signaler dans les 48 heures tout paiement d’une rançon.

A noter que presque 1 responsable sur 5 (17%) ayant déjà subi une attaque par rançongiciel confesse avoir versé la somme demandée. Les entreprises américaines sont les plus nombreuses à s’en être acquittées (25%) tandis que les entreprises australiennes sont les plus réfractaires (9%). Au bout du compte, 22% des membres du panel interrogé par Venafi pensent que payer une rançon est « une faute morale ». Une enquête récente montrait qu’une forte proportion du grand public préférait qu’une entreprise ne paie pas la rançon en cas de chantage de la part de hackers.

De nouveaux usages frauduleux des technologies de l’information

L’année 2022 apparaît au final particulièrement sombre en termes de nouveaux usages frauduleux des technologies de l’information. Six nouvelles tendances sont annoncées par Norton, éditeur de logiciels de sécurité. Par exemple, les pirates informatiques exploiteront les conséquences des catastrophes naturelles pour récupérer des dédommagements grâce à des identités volées ou pour escroquer directement les vraies victimes.

En utilisant l’intelligence artificielle et l’apprentissage automatique (Machine Learning), les pirates informatiques vont fabriquer des ‘deepfakes’ efficaces même si cela restera encore difficile à réaliser. Des vidéos imitant des personnes réelles pourront permettre de se connecter à des comptes personnels protégés par de la reconnaissance faciale. Avec toutes les données désormais disponibles, ces mêmes pirates vont établir des profils types de victimes afin d’identifier les personnes les plus susceptibles de succomber à certains types d’attaques ou de fraudes.

Par ailleurs, l’hacktivisme et le cyber terrorisme devraient se poursuivre, voire s’intensifier pour réaliser des escroqueries mais aussi pour influencer l’opinion publique, en particulier en cette année d’élections présidentielles en France. Malgré les nouvelles réglementations telles que le RGPD, le pistage des consommateurs sur internet via des cookies intrusifs se poursuivra, prévient Norton. Dernier point, avec la démocratisation des crypto monnaies, de nouveaux investisseurs trop peu aguerris seront des cibles pour les escrocs.