Depuis 2020, les entreprises françaises sont sous le feu des cyberattaques : l’ANSSI remarque une hausse de +400% des cyberattaques. Au fil du temps, le piratage s’est structuré, à l’image de n’importe quel autre secteur, afin de gagner en efficacité et booster la croissance. De ce fait, les cybercriminels les plus aguerris regardent de moins en moins la rentabilité de leurs attaques, mais se tournent davantage sur la revente des méthodes et d’outils prêts à l’emploi. Accessibles et faciles à prendre en main, ces derniers sont particulièrement prisés car ils permettent d’exécuter des attaques de grande ampleur. Par ailleurs, le potentiel de l’intelligence artificielle générative a très vite été adopté par les attaquants qui y ont vu un moyen de faire passer au niveau supérieur leurs attaques, tant par la quantité de victimes potentielles que la qualité des applicatifs malveillants. Face à ce constat et pour anticiper les menaces à venir, les décideurs doivent garder à l’esprit les principaux points de cyber-vigilance pour l’année à venir.
Des attaques plus fulgurantes grâce à l’IA générative
Si l’expertise technique des cybercriminels s’est grandement amoindrie avec la commercialisation de solutions prêtes à l’emploi, l’ingéniosité et la rapidité des méthodes déployées sont d’un tout autre niveau. Cela s’est traduit au fil des années par un changement de la typologie des cibles, passant majoritairement des grands groupes (qui ont les moyens de mettre en place des systèmes de protection complexes) à une proportion croissante de petites et moyennes entreprises plus fragiles. En effet, les gains individuels n’étant pas aussi conséquents, les attaquants vont davantage miser sur la quantité en multipliant les tentatives en tout genre grâce à une automatisation avancée. Par exemple, de nombreux experts de la cybersécurité ont constaté une tendance en matière d’attaques par ransomware qui serait probablement dû à l’accessibilité de l’intelligence artificielle générative au grand public. Pour les attaquants, cette technologie leur permet de personnaliser massivement et rapidement leurs approches en fonction des différentes cibles, et de gagner en crédibilité.
De plus, la démocratisation des outils d’attaques s’accompagne d’une démarche plus pragmatique sur la technicité des attaques. Plutôt que de chiffrer l’entièreté des données d’une entreprise (et de garder un contact permanent avec les victimes pour leur rendre leurs accès lors du paiement des rançons), les cybercriminels vont continuer à menacer de divulguer les informations sensibles récupérées. Cette méthode étant beaucoup plus rapide à mettre en œuvre, elle est surtout plus simple car elle leur permet de disparaître sans laisser de trace. Ces attaques éclairs ont de prime permettent aux attaquants d’assurer leurs activités tant le nombre de victimes potentielles est grand. Si cette tendance a été observée ces derniers mois, il semblerait qu’elle prendra davantage d’ampleur en 2024.
Brisons un cliché : la protection parfaite n’existe pas
Alors que les attaquants au contact des victimes ne sont plus des experts, les véritables ingénieurs à l’origine des outils utilisés se sont professionnalisés. Quotidiennement, ils sondent les technologies de sécurité et sont à l’affût de nouvelles failles à exploiter. La double authentification est par exemple particulièrement ciblée par les attaquants qui redoublent d’ingéniosité pour s’octroyer les droits d’accès. Cette protection phare des années 2010 était présentée comme le rempart ultime contre le piratage des mots de passe, mais aujourd’hui les cyberpirates savent parfaitement intercepter les codes envoyés par mail ou par SMS ; on peut tout à fait imaginer que ce schéma pourrait se répéter à l’avenir pour d’autres moyens de sécurité tels que les applicatifs dédiés à la double authentification. Outre les diverses méthodes pour obtenir le déverrouillage d’un service sans le consentement de ses utilisateurs, les erreurs de configuration sont également fréquentes lors du déploiement de solutions de sécurité. Il s’agit d’une aubaine pour un acteur malveillant qui va systématiquement et massivement les cibler grâce à l’automatisation. En 2023, la pluralité des attaques montre bien que chaque système de protection peut être individuellement déjoué.
Néanmoins, les chercheurs en cybersécurité et tous les acteurs du secteur sont unanimes : la protection ultime n’existe pas. Il ne s’agit pas d’un simple adage marketing, mais bien d’une réalité. Lorsque l’on met en perspective la professionnalisation des créateurs d’attaque et les bénéfices que génèrent ce secteur d’activité, on comprend aisément que l’appât du gain motive très sérieusement les différents acteurs de ce marché parallèle et florissant. D’ailleurs, si une cible (lucrative) est verrouillée, ils feront tout pour la faire tomber. Toutefois, il est nécessaire pour les entreprises d’établir une défense pour contrecarrer et protéger au maximum leurs données et leurs activités. Et même si la course technologique entre les cybercriminels et les acteurs de la cyberdéfense est infinie, il serait vain de se reposer indéfiniment sur une solution de protection ou un plan élaboré à un instant-T. L’évolutivité du paysage des menaces est si rapide, qu’il pourrait faire penser au mythe de Sisyphe : dès qu’une méthode de protection est trouvée, les attaquants vont tout faire pour la contrecarrer et anticiper les prochaines mises à jour pour que leurs attaques puissent aboutir le plus longtemps et le plus facilement. De plus, dans la prochaine décennie, l’arrivée des ordinateurs quantiques remettra en question l’intégralité des chiffrements actuels.
Pour les petites entreprises, cela peut être décourageant. Du fait de leurs ressources limitées, elles seront plus enclines à rationaliser leurs coûts en misant sur une protection générale (qui peut ne pas être adaptée à leurs besoins) plutôt que sur un ensemble d’outils spécialisés. Toutefois, quelle que soit la taille de l’entreprise et ses moyens, il ne faut pas perdre espoir. Si en 2024 la cybermenace sera toujours présente et plus pressante sur les entreprises, leurs dirigeants doivent pouvoir trouver de l’aide pour consolider leurs systèmes en place et colmater les failles exploitables. Pour commencer l’année sur des bases saines, un état des lieux cyber est assurément la première étape pour détecter les faiblesses et avoir une vision claire des risques importants à régler.
Auteur : Eric Heddeland, Barracuda Networks.