Rapport d’incidentologie 2024 : Une année sous le prisme des cyberattaques

Le rapport d’incidentologie 2024, publié par InterCERT France, dresse un panorama exhaustif des incidents cyber ayant touché les organisations françaises en 2023. Fruit de l’analyse de 212 questionnaires remplis par 65 CERTs (internes et externes), ce rapport met en évidence les tendances des cybermenaces, leurs impacts, ainsi que les bonnes pratiques pour y répondre. Voici une analyse approfondie des conclusions majeures et des recommandations essentielles.

1. Les cybermenaces en chiffres

Une menace majoritairement opportuniste

74 % des attaques recensées sont opportunistes, exploitant des failles techniques ou humaines sans ciblage préalable.

Motivations financières : La majorité des cybercriminels (51 %) agissent pour des gains financiers via l’extorsion, les rançons ou les avantages compétitifs.

Les attaques motivées par l’espionnage représentent 12 %, un chiffre en hausse, notamment dans les secteurs critiques (santé, défense, énergie).

Techniques utilisées

Ransomwares : Présents dans 31 % des cas, ils s’accompagnent souvent d’exfiltrations de données sensibles, rendant leur impact doublement préjudiciable (chiffrement + vol).

Vecteurs d’intrusion privilégiés : Les failles des applications accessibles publiquement et les attaques de type phishing dominent.

Cibles technologiques : Les environnements Windows restent les plus visés (73 % des cas), révélant une dépendance critique à cet écosystème.

2. Une gestion des incidents encore perfectible

Temps de détection et de résolution

  • Le délai médian de détection (MTTD) est de 5 jours, mais certaines intrusions ne sont identifiées qu’après plusieurs semaines.
  • Le temps médian de résolution (MTTR) est de 23 jours, allongé par des systèmes complexes ou des failles organisationnelles.

Déficits en compétences

  • Les compétences en forensic (64 %) et en pilotage de crise (36 %) manquent cruellement, particulièrement dans les petites et moyennes structures.
  • La centralisation des journaux d’événements (logs), cruciale pour l’analyse post-incident, fait défaut dans 54 % des cas.

Impact organisationnel

  • Les attaques nécessitent en moyenne 40 jours/homme pour une résolution complète, un poids significatif pour des entreprises aux ressources limitées.
  • Les grandes entreprises, bien que mieux préparées, mettent plus de temps à résoudre les crises en raison de la complexité de leurs systèmes.

3. Focus : le phénomène des ransomwares

Les ransomwares, désormais omniprésents, constituent un axe majeur d’analyse :

  • 64 % des incidents impliquent une exfiltration de données, aggravant les conséquences financières et réputationnelles.
  • 50 % des attaques ne sont pas revendiquées, compliquant leur attribution.
  • Les montants des rançons exigées oscillent entre 100 000 $ et 250 000 $, souvent en cryptomonnaies pour anonymiser les transactions.

RaaS (Ransomware as a Service) : une industrialisation inquiétante

Le modèle "Ransomware as a Service" permet à des cybercriminels peu expérimentés d’accéder à des outils performants contre une commission. Des groupes comme Lockbit ou DarkSide rendent les attaques accessibles, augmentant la fréquence et la gravité des incidents.

4. Recommandations opérationnelles

Face à ces constats, InterCERT France propose des pistes d’amélioration pour renforcer la résilience des entreprises :

Prévention

  • Sensibilisation des collaborateurs : Le phishing restant un vecteur majeur, des campagnes de formation régulières sont essentielles.
  • Renforcement des systèmes critiques : Mettre à jour les systèmes exposés (RDP, VPN, Active Directory), réduire les surfaces d’attaque et segmenter les réseaux.
  • Authentification multi-facteurs (MFA) : Une mesure incontournable pour protéger les comptes administrateurs.

Détection et réponse rapide

  • Mise en place de solutions EDR : Ces outils de détection avancés ont été jugés "différenciants" dans 37 % des cas.
  • Centralisation et conservation des logs : Disposer d’historiques complets permet d’identifier rapidement les intrusions.
  • Collaboration renforcée avec les CERT externes : Leur expertise est cruciale pour pallier le manque de compétences internes.

Reconstruction post-incident

  • Tests de restauration des sauvegardes : Un tiers des incidents révèlent des défaillances dans les sauvegardes, souvent inutilisables faute de tests préalables.
  • Durcissement des systèmes : Suite aux incidents, les organisations doivent renforcer leurs infrastructures critiques, notamment Active Directory.

Communication pendant la crise

  • Interne : Informer les collaborateurs pour limiter les comportements aggravants.
  • Externe : Mieux anticiper les interactions avec les parties prenantes et les autorités.

5. Secteurs les plus vulnérables

Les secteurs critiques, tels que la santé, l’énergie, et la défense, sont particulièrement ciblés :

  • Espionnage : 21 % des attaques ciblées incluent des actions d’espionnage, mettant en péril des données stratégiques.
  • Supply chain : Les PME et ETI, souvent maillons faibles de la chaîne d’approvisionnement, subissent des attaques opportunistes ou indirectes.

6. Perspectives pour 2025

InterCERT France conclut sur la nécessité d’une collaboration accrue entre les acteurs publics et privés. La montée en puissance des cyberattaques appelle à une évolution rapide des pratiques de cybersécurité, notamment :

  • L’automatisation de la détection grâce à l’intelligence artificielle.
  • La standardisation des bonnes pratiques au sein des PME et ETI.
  • La mutualisation des ressources pour permettre aux petites structures d’accéder à des compétences hautement spécialisées.

Conclusion

Le rapport d’InterCERT France offre une vue d’ensemble essentielle pour comprendre les défis posés par les cybermenaces. Pour SILEXO, cet état des lieux représente une opportunité de sensibiliser et accompagner nos clients dans leur transformation sécuritaire. Il est impératif d’agir maintenant pour renforcer la résilience face aux cyberattaques.

 

Autres articles susceptibles de vous intéresser

🔗 Cybersécurité dans l'UE : Les Directives NIS et NIS 2 : Cet article se penche sur ces deux directives, en examinant leurs objectifs, champs d'application, exigences et distinctions fondamentales.

🔗 Gestion des violations de données conformément au RGPD : Plan d’action en 12 étapes: Le plan en 12 étapes que nous détaillons ici est une méthode éprouvée pour gérer une violation de données en protégeant les droits et libertés des personnes concernées de manière conforme au RGPD.

🔗 Les deux documents de base pour les TPE/PME en protection des données (RGPD) et cybersécurité : Découvrez les deux outils incontournables pour renforcer la protection des données et la cybersécurité de votre TPE/PME tout en assurant votre conformité au RGPD.

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !