Rançongiciels, fraudes menées à l’aide de l’intelligence artificielle, ou encore attaque sur les chaînes d’approvisionnement : la cybercriminalité ne cesse d’évoluer, se traduisant par des menaces de plus en plus subtiles et sophistiquées. Quelles cybermenaces préoccupent les entreprises françaises à l’orée de 2024 ? Quelles solutions ces dernières peuvent-elles déployer ? Découvrez-le dans la première partie de cette étude.
Dans cet article
- Phishing, attaques dirigées à l’aide de l’IA : ces dangers qui préoccupent les entreprises en 2024
- Plus d’un quart des entreprises interrogées ont déjà fait l’expérience d’une violation de données
- Quels sont les principaux points de vulnérabilité des systèmes d’entreprise ?
- Prévention des risques et protection, quels axes d’amélioration sont à considérer ?
Que ce soit pour améliorer l’efficacité de leur communication auprès des consommateurs, automatiser des tâches répétitives, ou faciliter l’analyse d’informations stratégiques, les outils numériques occupent désormais une place stratégique au cœur des priorités des entreprises.
Toutefois, le développement de ces pratiques va également de pair avec celui d’un phénomène dommageable pour l’activité des organisations : l’évolution de la cybercriminalité. Des fraudes faisant appel au deepfake, aux rançongiciels, en passant par les attaques par déni de services, plusieurs exemples illustrent les menaces de cybersécurité auxquelles peuvent être exposées les entreprises.
Dans le premier volet consacré à un état des lieux des tendances et pratiques de cybersécurité, Capterra a souhaité identifier les cybermenaces qui préoccupent les entreprises françaises pour 2024, celles qui ont été d’ores et déjà subies par ces dernières, ainsi que les solutions pouvant être mises en œuvre.
Plus de 2000 employés travaillant à temps plein au sein de structures déployant des mesures de cybersécurité ont ainsi été interrogés.
Une méthodologie complète est disponible à la fin de cet article.
Phishing, attaques dirigées à l’aide de l’IA : ces dangers qui préoccupent les entreprises en 2024
En raison de l’innovation et de la créativité dont les cybercriminels font preuve, les cybermenaces requièrent une veille et une adaptation sans relâche des entreprises pour y faire face. Bien que ces dangers concernent différents types de structures, ils tendent à toucher plus particulièrement les TPE et PME, selon l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Cette catégorie spécifique d’organisations reste plus vulnérable aux attaques des hackers que les grandes entreprises car ces derniers profitent souvent d'une protection moindre des systèmes d’informations.
Quelles menaces préoccupent plus particulièrement les entreprises en 2024 ? Pour le savoir, nous avons sondé les participants de notre étude s’étant identifiés comme responsables, participants actifs ou pleinement informés des outils de sécurité employés par leur entreprise.
Voici les tendances que nous avons pu observer :
Un e-mail invitant à participer à un jeu concours ou sommant un internaute de mettre des informations de paiement à jour : derrière ces communications d’apparence authentique et parfois alarmiste peut se cacher une cybermenace connue sous le nom de phishing ou hameçonnage. Imitant des communications officielles et proposant un contenu parfois plus vrai que nature, ce type de courriel frauduleux peut s’avérer difficile à détecter pour les yeux les moins aguerris. Cette menace est par ailleurs envisagée comme l’une des menaces en 2024 par 44 % des répondants. Sites de streaming, grande distribution, ou encore transports, différents secteurs sont affectés par ces communications qui peuvent emprunter l’apparence d’une communication officielle d’entreprise. Leur but est simple : inciter des utilisateurs à télécharger des logiciels malveillants ou à partager des informations sensibles et des données personnelles, le tout à leur insu.
Parce qu’elle peut notamment servir aux pirates pour reproduire le style de communication et l’identité visuelle d’une marque avec encore plus de réalisme, l’intelligence artificielle générative peut se présenter comme une arme redoutable lorsqu'elle est utilisée pour des campagnes de phishing. L’usage de cette technologie à des fins cybercriminelles est une préoccupation importante pour 34 % de cette même partie du panel, ceci pouvant se justifier par la production d'un contenu falsifié moins facilement identifiable par l'œil humain.
Les consommateurs ne sont pas les seuls à être exposés aux attaques de plus en plus perfectionnées des cybercriminels. En novembre 2022, c’est par exemple un montant de plus de 38 millions d'euros qui avait été dérobé auprès d’un promoteur immobilier par le biais d’un e-mail frauduleux usurpant l’identité du PDG de l’entreprise. Connues sous le terme de “compromission du courrier électronique professionnel” (parfois abrégé en BEC, pour Business Email Compromise), ou “arnaque au président”, ces attaques font également partie des préoccupations pour les 12 mois à venir de 32 % des répondants.
Face aux défis posés par la cybercriminalité, la cybersécurité demeure un enjeu stratégique pour les entreprises. Passons maintenant en revue les vulnérabilités auxquelles les organisations de notre panel ont pu être exposées au cours de l’année écoulée.
Plus d’un quart des entreprises interrogées ont déjà fait l’expérience d’une violation de données
Perturbations des opérations courantes, pertes financières, atteintes à la réputation, ou encore érosion de la confiance des consommateurs, plusieurs conséquences peuvent découler de la violation des données d’une entreprise.
Si 54 % de l’ensemble des participants indiquent avoir été épargnés par ce type de problématique, ils sont en revanche 29 % à déclarer le contraire : 19 % affirment avoir subi “une attaque”, et 10 % “plusieurs attaques” de ce type."
Lorsque interrogés sur l’origine de ces failles de sécurité, la majorité des répondants (51 %) citent des pirates ou des personnes extérieures à l’entreprise. Toutefois, force est de constater que des négligences en interne ont aussi lieu, telles qu’une base de données ou autre source de données en ligne non sécurisée (selon 41 % des répondants), ou des actes malveillants menés directement par des employés (19 %).
Le facteur humain est bien souvent un facteur de vulnérabilité dans la chaîne de protection des données. La connaissance et la formation aux risques de cybercriminalité peuvent faire la différence pour aider un employé à identifier clairement quelles pratiques sont susceptibles de compromettre les données de l’entreprise.
Quelles menaces les plus fréquentes ont pu peser sur les organisations au cours des 12 mois écoulés ? Tel est le sujet évoqué dans la suite de cet article.
60 % des employés exposés aux e-mails de phishing ont une conduite à risque
Un e-mail provenant du service informatique requérant d’effectuer une mise à jour de mot de passe ou une demande de transfert de fichiers émanant de l’adresse professionnelle d’un responsable : divers exemples de tentatives de hameçonnage toujours plus réalistes et semblant provenir de sources légitimes peuvent être reçus par des employés.
Au sein de notre panel, 72 % des répondants affirment que leur entreprise a déjà été exposée à une telle menace. Parmi ces répondants :
- 21 % ont directement reçu un e-mail frauduleux,
- 36 % ont reçu ou ont connaissance d’autres collaborateurs ayant reçu un e-mail frauduleux,
- 15 % ont été informés de collaborateurs ayant reçu un e-mail frauduleux.
Ainsi, la prudence doit être de mise afin de ne pas compromettre les informations de l’entreprise. Pourtant, 60 % des employés dont l’entreprise a été exposée à une menace de phishing déclarent qu’eux-mêmes, voire plusieurs de leurs collaborateurs, ont pu cliquer sur un lien malveillant contenu dans un e-mail de ce type. Parmi eux :
- 11 % déclarent avoir cliqué eux-mêmes sur un lien malveillant,
- 17 % indiquent qu’eux-mêmes ainsi que d’autres employés de l’entreprise ont cliqué sur un lien malveillant,
32 % indiquent avoir connaissance d’autres employés ayant cliqué sur un lien malveillant.
Les rançongiciels, une réelle menace pour près de 45 % des entreprises sondées
Les attaques par rançongiciels (ou ransomware) font partie des menaces récentes pouvant affecter les entreprises. Ces logiciels frauduleux verrouillent et encryptent les données, les fichiers, les appareils ou les systèmes d'une entreprise, les rendant inaccessibles et inutilisables jusqu'à ce qu’un paiement soit effectué.
Afin d’identifier dans quelle mesure elles ont pu concerner les entreprises de notre panel, nous avons questionné à ce sujet les participants responsables, impliqués ou pleinement informés des mesures de sécurité appliquées au sein de leur organisation.
Selon les réponses collectées auprès de cet échantillon du panel, 45 % déclarent que leur entreprise a été victime d’une ou de plusieurs attaques de rançongiciels (27 % “une attaque”, 18 % “plusieurs attaques”).
Confrontées à la perte de données sensibles de grande importance, certaines entreprises peuvent être tentées de céder à la demande des pirates en procédant au versement demandé. Pourtant, rien ne garantit la récupération de leurs informations : 14 % déclarent avoir constaté la perte définitive de leurs données, et ce, en dépit d’un paiement effectué. Par ailleurs, les pouvoirs publics recommandent fortement de ne jamais effectuer de versement, et incitent les entreprises à porter plainte ainsi qu’à notifier l’attaque à la CNIL en cas de données personnelles compromises.
Quels sont les principaux points de vulnérabilité des systèmes d’entreprise ?
On définit une vulnérabilité en matière de sécurité comme une faiblesse ou une opportunité dans un système d'information pouvant être exploitée par des cybercriminels pour obtenir des informations non autorisées. Ces vulnérabilités peuvent par exemple s’apparenter à un manque de contrôle sur les accès donnés aux employés, une mauvaise configuration du réseau de protection, ou des données sensibles non cryptées.
Lorsque la question “Parmi les vulnérabilités de sécurité suivantes, quelles sont celles qui posent actuellement le plus de problèmes à votre entreprise ?” a été posée au groupe de participants responsables, impliqués ou pleinement informés des mesures de sécurité déployées, les risques suivants ont été identifiés :
- la négligence des employés (38 %),
- un défaut de programmation ou de logiciels (34 %),
- une protection insuffisante des réseaux (32 %).
Conseils aux entreprises
Outre des fonctionnalités permettant d’aider à neutraliser les attaques potentielles, la plupart des outils de cybersécurité contribuent à renforcer la protection d’un système en proposant une analyse des vulnérabilités potentielles. Qu’il s’agisse de la détection d’une mise à jour insuffisante d’un logiciel, de la désactivation d’un pare-feu, ou de mots de passe considérés comme insuffisamment forts, ils participent à une gestion efficace des vulnérabilités pour réduire les risques de faille de sécurité.
Prévention des risques et protection, quels axes d’amélioration sont à considérer ?
Alors qu’il est recommandé aux entreprises de s'efforcer de mettre à jour leur stratégie de cybersécurité, une première étape peut consister à se concentrer sur les points de vulnérabilité identifiés.
Parmi les mesures déployées par les entreprises, cette section analyse les processus pouvant gagner à être améliorés.
Une formation à la cybersécurité encore insuffisante pour 54 % des employés interrogés
Premier bastion de défense contre la cybercriminalité et pourtant cité comme une première source de vulnérabilité, les employés jouent un rôle majeur dans la protection des systèmes. Selon l’ensemble des employés de notre panel, la plupart d’entre eux bénéficient d’une formation en cybersécurité sur une base annuelle (28 %).
Toutefois, face à l’évolution constante des cyberattaques, un contenu de formation peut rapidement s’avérer obsolète et demander des formations plus fréquentes pour s’ajuster à la réalité du terrain : ils sont encore 22 % à n’avoir aucune formation, quand 8 % n’en reçoivent qu’au moment de leur intégration à l’entreprise.
Parmi les contenus de formation principaux proposés, sont mis en avant ceux portant sur :
- la confidentialité des données (46 %),
- la sécurité sur site et l’accès aux bâtiments (35 %),
- la cybersécurité (34 %),
- les bonnes pratiques sur les réseaux sociaux (31 %).
En dépit des formations dispensées, un décalage est cependant observable dans la mise en pratique de certains principes de protection fondamentaux. Un mot de passe identique est par exemple utilisé pour plusieurs comptes par 50 % des employés, alors que l’usage de mots de passe différents reste fortement recommandé.
Certaines pratiques permettent de consolider les connaissances des salariés en simulant des conditions de danger réelles : 35 % des entreprises de notre panel ont ainsi opté pour des e-mails tests de phishing envoyés aux employés, servant à analyser les comportements de ces derniers. Interactives et engageantes, ces simulations sont un moyen d’analyser les lacunes potentielles des salariés sur la base de menaces actuelles et réelles et d’ainsi ajuster les besoins de formation.
L’authentification à deux facteurs (2FA), un outil systématiquement utilisé par seulement 18 % des entreprises
Lorsqu’il est question du niveau d’accès aux informations accordé aux employés, 33 % de l’ensemble de notre panel estime que les employés ont accès à plus de données que ce qui est strictement nécessaire pour effectuer leur travail.
Face à ce constat, notre étude nous a permis de constater que le recours systématique à certains outils permettant de protéger les accès reste encore peu appliqué. Parmi eux figure notamment l’authentification à deux facteurs (abrégé en 2FA, pour two-factor authentication).
Ce processus de sécurité signifie que l'application ou le service auquel l’employé souhaite accéder requiert deux formes d'identification séparées et distinctes, par exemple un mot de passe combiné à un code de sécurité envoyé sur un mobile. Parmi les entreprises interrogées, seules 18 % indiquent faire appel de façon systématique à ce système pour toutes les applications professionnelles utilisées.
Un système de protection tel que l’authentification à deux facteurs est pourtant un outil qui peut aider les organisations à renforcer la sécurité des accès en vérifiant l'identité de l'utilisateur, en identifiant l’appareil comme un appareil de confiance et en fournissant une connexion sécurisée aux réseaux et applications de l'entreprise.
Anticiper, prioriser et monitorer, les règles d’or pour la cybersécurité de demain
Si les progrès technologiques ont permis aux organisations d'améliorer leurs opérations ainsi que leurs systèmes de sécurité, ces innovations servent également aux cybercriminels pour affiner leurs attaques. Cela signifie qu’en plus de protocoles stricts et d’outils de cybersécurité adaptés, des mesures proactives doivent également être prises pour réduire les risques liés à la cybersécurité.
Afin d’anticiper les menaces et les investissements à effectuer, une évaluation formelle des risques en matière de cybersécurité peut être menée. Cette stratégie est par ailleurs celle employée par 45 % des entreprises de notre panel, selon les employés responsables, participants actifs ou pleinement informés des politiques de cybersécurité de leur entreprise. Il est ainsi possible de s’appuyer sur le compte-rendu d’un audit pour analyser les vulnérabilités aussi bien matérielles qu’humaines, les protocoles de sécurité mis en place ainsi que la pertinence des formations dispensées.
Comme le spécifie Gartner (article en anglais), contrer l’ensemble des menaces potentielles s’avère irréaliste. C’est pourquoi une stratégie de priorisation doit intervenir et répondre à des principes simples : quelles menaces sont susceptibles d’impacter négativement et le plus fortement l’activité de l’entreprise ? L’entreprise dispose-t-elle d’un plan de réponse adéquat pour y faire face ? Les coûts à engager sont-ils réalistes par rapport aux conséquences ?
Enfin, il ne s’agit pas uniquement pour les entreprises de se tenir au courant de l'actualité en matière de types de cyberattaques, mais également de s’enquérir des solutions et outils de cybersécurité adaptés permettant de répondre à ces menaces.
Intégrer ces différents paramètres au sein de sa stratégie fait partie des éléments pouvant aider une entreprise à appréhender les défis liés à la cybersécurité de demain.
Méthodologie
Pour collecter les données de ce rapport, Capterra a mené une enquête en ligne du 10 au 26 novembre 2023 auprès de 2072 employés français. Au sein de ce panel, 1393 sont responsables, participent activement ou sont pleinement informés des politiques de sécurité informatique de leur entreprise. Un groupe de 679 répondants ne sont pas entièrement au fait des politiques de cybersécurité de leur entreprise et ont répondu à des questions spécifiques.
L’ensemble des répondants ont été sélectionnés selon les critères suivants :
- Réside en France
- Âgé(e) de 18 ans à 65 ans
- Employé(e) à temps plein
- Travaille au sein d’une entreprise de 1 à plus de 10 000 employé(es)
- Travaille au sein d’une entreprise disposant d’un système de sécurité