Plus d’une entreprise sur deux (54 %) a subi au moins une attaque cyber au cours de l’année 2021, selon les chiffres du septième baromètre annuel du Club des experts de la sécurité de l’information et du numérique (CESIN)
Un impact sur le business
Pourtant, dans son communiqué, le CESIN note que « l’ampleur et la virulence des attaques ne cessent d’augmenter ». En effet, 6 entreprises sur 10 ont connu un impact sur leur business. Les principaux ? Une perturbation de la production (21 %), une compromission d’information (14 %). Ou encore une indisponibilité du site web pendant une période significative. En outre, les entreprises se disent toujours aussi inquiètes sur leurs capacités à faire face aux cyber-risques : 7 % d’entre elles sont très inquiètes, 41 % assez inquiètes, 48 % assez confiantes et 4 % très confiantes.
Côté méthode, le phishing reste le vecteur d’attaque le plus fréquent (voir graphique). Il est utilisé pour 73 % des entreprises se déclarant victime d’une attaque. Les autres moyens de transmission sont l’exploitation des failles (à 53 %) et, en augmentation, l’attaque par rebond via un prestataire (à 21 %). Des chiffres confirmés par les attaques Solarwinds en décembre 2020 ou plus récemment par les failles touchant Log4J d’Apache (voir Revue Banque n° 865).
Les attaques par ransomware ont, elles, touché une entreprise sur cinq parmi les répondantes. Et certains assureurs de refuser désormais de couvrir le risque de paiements (voir encadré). Un récent rapport de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) constatait toutefois une hausse de 255 % de ces attaques entre 2019 et 2020. Les premières cibles ? Les secteurs de la santé et de l’éducation, les collectivités territoriales. Sans oublier les prestataires de services numériques, et par rebond, les entreprises clientes de ces derniers. Bonne nouvelle toutefois, certains gangs criminels sont démantelés.
Le télétravail augmente la vulnérabilité
Côté conséquence, les entreprises disent avoir subi en moyenne deux conséquences majeures pour chaque attaque réussie (voir graphique), avec en tête l’usurpation d’identité (32 %), le vol de données (30 %), le chiffrement des données par un ransomware (23 %) ou un déni de service (20 %). En réponse à ces attaques, outre une augmentation constante des budgets liés à l’informatique, les entreprises ont déclaré faire plus de campagnes de sensibilisation auprès de leurs collaborateurs et déployer davantage de solutions EDR, des logiciels de détection des menaces sur les postes de travail et les objets connectés (+16 %). De plus, pour faire face à la pandémie et à la généralisation du télétravail, les entreprises ont revu leurs dispositifs de sécurité : 63 % d’entre elles ont généralisé l’authentification multi-facteurs (MFA) pour se connecter au système d’information de l’entreprise et aux applications métier et 70 % ont axé leurs campagnes de sensibilisation sur les risques liés à ce mode de travail.