Cyberattaques : Erreurs et mythes dangereux autour de la cybersécurité !

Bien que la cybercriminalité et la sécurité informatique ne soient plus des concepts inconnus, notamment en raison de la numérisation, certaines erreurs ont la vie dure – et dans le pire des cas, elles plongent une entreprise dans la ruine.

Erreur N° 1 : « Les cybercriminels ne s’attaquent qu’aux grandes entreprises – cela ne nous concerne pas. » / « Mon entreprise n’est pas assez intéressante pour les pirates. Il n’y a rien à gagner chez nous. »
Cette erreur est tenace et fait la fortune des cybercriminels depuis de nombreuses années. La triste réalité est que non seulement les entreprises financièrement bien placées sont prises pour cible, mais que les petites et moyennes entreprises vulnérables sont également fortement touchées.
En 2023, le nombre d’attaques de ransomware connues de l’ANSSI était supérieur de 30% à celui de la même période en 2022. L’ANSSI constate une augmentation du nombre d’incidents touchant certains secteurs, les TPE/PME/ETI étant le groupe le plus touché, avec 34% des victimes d’attaques de ransomware en 2023.
L’expérience montre que la question pour les entreprises n’est plus de savoir si elles seront attaquées, mais quand elles le seront. Les pirates attaquent de manière automatisée et en masse les TPE/PME/ETI jusqu’à ce qu’ils trouvent une faille. Encore et encore – les petits ruisseaux font les grandes rivières ! Cette approche peut même s’avérer plus rentable et moins risquée pour les cybercriminels que de s’attaquer à de grandes entreprises comme AIRBUS.

Erreur N° 2 : « Antivirus, pare-feu, mise à jour des logiciels : notre entreprise est parfaitement équipée. ! Formation à la sécurité IT ? C’est un non-sens ! On ne peut pas se former contre tous les dangers. »
Les stratégies de protection numérique peuvent être aussi sophistiquées que possible : La plus grande porte d’entrée pour les cybercriminels reste l’être humain. Et les pirates en sont bien conscients ! Il n’est donc pas étonnant que l’ingénierie sociale et le phishing comptent, avec l’envoi de logiciels malveillants, parmi les méthodes les plus populaires pour infiltrer une entreprise.
En 2023, les attaques par rançongiciel ont atteint un niveau record ! Mais les professionnels de l’informatique de votre entreprise ne peuvent pas remédier seuls au « point faible humain ». Cela nécessite une formation en équipe sur la sécurité informatique afin de sensibiliser tout le monde à la manière dont les pirates informatiques tentent d’accéder à l’entreprise par l’intermédiaire des employés. Sinon, les mesures de cybersécurité les plus coûteuses sont souvent inutiles.

Erreur N° 3 : « Les formations à la sécurité informatique sont trop chères. Nous ne pouvons pas nous le permettre. »
Ce mythe est très vite démonté si l’on compare les chiffres ! Une formation en sécurité informatique de quatre heures pour environ 20 personnes coûte quelques centaines d’euros. En revanche, le montant total des dommages causés par les cyber-attaques se chiffre en centaines de milliards d’euros par an ! Si votre entreprise est attaquée avec succès, en plus du paiement de la rançon, vous devrez faire face à des dépenses et des coûts tels que :
– perte de travail
– perte de revenus
– Perte de production
– Frais d’avocat
– Réparation de l’infrastructure informatique (sauvetage ou réinstallation des serveurs).
– Coûts ultérieurs imprévisibles.
Il n’est pas nécessaire de connaître en détail chaque attaque possible, mais d’être conscient des médias et de savoir à quoi faire attention. Cela fait passer la sécurité à un autre niveau ! Même des années après une formation, les employés sont toujours sensibilisés aux cybermenaces. Cette attention est la meilleure protection. Dans le cadre d’une telle formation, des simulations d’attaques de phishing peuvent par exemple être réalisées.
Prenons l’exemple de l’année 2022 :
Un e-mail infecté par un logiciel malveillant a pu infiltrer un groupe énergétique de Hanovre comptant 3000 employés. Les auteurs ont ensuite crypté les données de systèmes informatiques critiques – et demandé une rançon. La CEO a décidé de ne pas payer l’argent.
Les conséquences de l’attaque par ransomware : informatique non fonctionnelle, aucun contact avec les clients pendant des semaines, problèmes dans les transactions à la bourse de l’électricité.
Montant des dommages : 20 millions d’euros – et cinq mois de travail pour que le fournisseur d’énergie rétablisse tous ses systèmes.

Erreur N° 4 : « L’IA modifie certes le quotidien professionnel, mais elle ne joue guère de rôle dans la sécurité informatique. »
C’est le contraire qui se produit : l’IA augmente considérablement le niveau de menace pour les entreprises. Récemment, un employé hongkongais de la société d’ingénierie et de design britannique Arup a transféré près de 23 millions d’euros en pensant qu’il était en vidéoconférence avec le directeur financier britannique, qui était censé l’avoir ordonné. En réalité, l’employé communiquait avec une version deepfake générée par l’IA, basée sur l’audio et la vidéo du vrai directeur financier.
Ce qui semble être de la science-fiction est malheureusement très facile à réaliser : il suffit de nourrir une IA avec du matériel audio d’Emmanuel Macron, par exemple, et de lui faire ensuite réciter différents textes. Le résultat sonne terriblement vrai. Et l’IA peut faire bien plus : elle formule et envoie en grand nombre des e-mails d’hameçonnage à la sonorité parfaite, programme des codes pour des logiciels malveillants, etc. Il est donc très important de préparer vos employés à ces menaces.

Nos recommandations si vous souhaitez vous prémunir contre les cyberattaques visant la vulnérabilité humaine:

Avec le kit de sensibilisation de cybermalveillance.gouv.fr vous pouvez informer / former votre équipe : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/kit-de-sensibilisation

Si vous avez besoin d’une formation en Charente-Maritime avec l’aide d’un formateur / d’une formatrice, nous vous recommandons de vous adresser au Collectif Rochefort Numérique : https://www.rochefort-numerique.fr/