« La crise arrive toujours le soir, à 22 h 00, la veille de vacances… La question aujourd'hui n'est plus si on va être attaqué, mais quand », met en garde Hugues Foulon, directeur général d'Orange Cyberdefense. La branche consacrée à la cybersécurité d'Orange publie ce jeudi son rapport annuel, qui dresse un tableau inquiétant de l'état mondial de la cybermenace. « La fréquence, la gravité, la complexité et les conséquences des événements frappant notre secteur ont atteint des niveaux jusqu'alors inédits », peut-on lire dans ce rapport de près d'une centaine de pages. Environ 30 % d'incidents supplémentaires ont été enregistrés sur la période, soit un total de près de 130.000, dont 19 % « confirmés » - c'est-à-dire qu'une enquête a établi que la sécurité a été compromise lors de cet incident.Le groupe, qui compte plus de 8.000 clients et doit dégager pour cette année un chiffre d'affaires de plus de 1 milliard d'euros, profite de sa place de numéro un français sur le secteur pour récolter ces données au sein de ses centres de supervision (appelés « SOC » dans le jargon), dans les rapports de ses équipes réalisant des tests d'intrusion et grâce à ses analystes de réseaux criminels.
Risque de « double extorsion »
La principale menace qui plane aujourd'hui sur les organisations publiques et privées est la cyber-extorsion, « voire la double extorsion », note José Araujo, le responsable technologique d'Orange Cyberdefense. Le principe ? « Un attaquant va s'introduire dans un système, chiffrer les données puis proposer à la victime de lui redonner accès à ses données en l'échange d'une rançon. On parle de double extorsion quand, en plus de faire ça, l'attaquant demande une autre rançon pour ne pas publier en ligne les données qu'il a volées », décrit l'expert. « Mais si vous payez la rançon, il n'y a aucune garantie que le pirate tienne parole », s'empresse d'ajouter Hugues Foulon. Depuis 2020, le groupe a identifié près de 9.000 victimes de cyberextorsion répertoriées sur le dark web. Un chiffre qui peut sembler élevé, mais qui ne représente en réalité qu'une fraction des entreprises victimes, dont la compromission a été rendue publique.A partir de ses données, le rapport estime que la hausse des victimes de cyberextorsion a atteint un record de 46 % sur les douze derniers mois. « Ce type d'attaques explose, ces dernières années ça n'a fait que croître, à part une petite baisse en 2022 liée à la guerre en Ukraine », a constaté José Araujo. Les groupes de cybercriminels, souvent liés à la Russie ou aux pays de l'Est, étaient alors « mobilisés ailleurs », avance-t-il. « Il y a également eu beaucoup d'opérations policières en Europe qui ont abouti à des arrestations. » Augmentation régulière
Les grandes entreprises continuent d'essuyer la majorité des attaques (40 %), avec une hausse régulière pour celles qui emploient plus de 10.000 personnes. Cette tendance a été exacerbée par Cl0p, qui a exploité deux vulnérabilités majeures en 2023. « Mais les attaquants essaient de plus en plus de pêcher de petits poissons », note Hugues Foulon. Ainsi, les petites entreprises représentent un quart (25 %) des victimes et sont suivies de près par les moyennes entreprises (23 %).Géographiquement, ce sont les grandes économies anglophones qui comptent le plus grand nombre de victimes. Plus de la moitié des organisations attaquées ont leur siège aux Etats-Unis (53 %), au Royaume-Uni (deuxième avec 6 %) et au Canada (troisième, 5 %). La France est cinquième. Mais peu à peu, les groupes cybermalveillants tentent leur chance en Inde (+97 %), en Océanie (+73 %) et en Afrique (+70 %). Enfin, c'est l'industrie manufacturière qui reste le secteur le plus touché (20 %). « Pendant longtemps les usines n'étaient pas raccordées à Internet. Ce sont des systèmes industriels durs à sécuriser, cela requiert des investissements énormes », explique le directeur général. Une cible en or pour les attaquants, qui ont identifié la faille et savent que ces entreprises seront davantage susceptibles de sortir leur chéquier pour remettre en route le plus vite possible leurs machines.
