Chiffrer l’impact des cyberattaques sur les entreprises

Facebook, Microsoft, AXA… Lorsque les cyberattaques font la une de l’actualité, elles sont souvent associées aux noms de grandes entreprises : les références connues retiennent davantage l’attention, c’est la règle du jeu médiatique ! Doit-on pour autant en conclure que le risque est proportionnel au poids – et à la taille – d’une entreprise ? Passer à la loupe les pratiques de la cybercriminalité est un exercice d’importance majeure pour évaluer la réalité de la menace, ses formes les plus courantes et ses cibles privilégiées.

Cyberattaques : une menace grandissante pour toutes les entreprises

C’est un fait : toutes les entreprises ne déclarent pas les cyberattaques dont elles ont pu être victimes – peu importe si ces attaques ont porté leurs fruits ou sont restées au stade de simple tentative. Aussi, les chiffres portant sur la cybercriminalité en entreprise doivent toujours être considérés avec un certain recul.

Cependant, les nombreuses études de terrain menées par les autorités publiques compétentes et des experts de la question cyber rendent parfaitement compte de la tendance et de l’évolution de la cybercriminalité en entreprise.

2016-2017 : le moment charnière

Pour les entreprises, c’est entre 2016 et 2017 qu’a vraiment débuté la « guerre cyber ». C’est le constat établi dans le rapport d’information du Sénat sur la cybersécurité des entreprises, publié en juin 2021.

Avant cette période, les cyberattaquants lancent leurs spams et leurs logiciels malveillants au hasard, en quelque sorte : ils utilisent des listes de mails aléatoires, comprenant principalement des adresses de particuliers. Dès 2016, ils réalisent que cibler les entreprises peut s’avérer beaucoup plus rentable : les listes d’envoi aléatoires sont remplacées de plus en plus souvent par des listes de mails professionnels, trouvées en ligne. Depuis cette date, le danger encouru par les entreprises n’a cessé d’augmenter.

Une cybercriminalité qui fait de plus en plus mal

En 2017, sorte d’« année zéro » pour la cybersécurité en entreprise, 92 % des entreprises françaises affirmaient avoir subi au moins une cyberattaque dans l’année, selon les données du baromètre annuel du CESIN (le Club des experts de la sécurité de l’information et du numérique).

Les années qui suivent ne montrent pas de changement majeur : 8 entreprises sur 10 continuent à déclarer des cas de cyberattaques en 2018 et elles sont 9 sur 10 en 2019. Mais la portée des attaques devient de plus en plus dommageable : 65 % des entreprises interrogées se disent impactées dans leur business en 2019, contre 59 % en 2018 et 49 % en 2017.

Des attaques par ransomware multipliées par 4 en 2020

Les derniers baromètres du CESIN montrent un recul, léger mais progressif, du nombre de cyberattaques dommageables : le pourcentage de signalement passe à 57 % en 2020 et 54 % en 2021. Dans les faits, une entreprise sur deux se trouve toujours en situation de danger évidente. En 2021, le nombre d’entreprises ayant demandé une assistance sur Cybermalveillance.gouv.fr a augmenté de pas moins de 95 % !

Par ailleurs, les attaques deviennent plus virulentes. Sur la seule année 2020, le nombre d’attaques de type ransomware (ou rançongiciel) subies par les entreprises françaises a été multiplié par 4 par rapport à l’année précédente, selon les chiffres de l’ANSSI (Agence nationale de la sécurité des systèmes d'information).

Une plus grande vulnérabilité des petites entreprises

Selon une idée reçue, seules les grandes entreprises seraient soumises au risque des attaques informatiques : la sensibilité de leurs données, le poids de leur structure et leur valeur économique représenterait une opportunité bien plus intéressante pour les hackers.

En 2021, une grande entreprise sur deux déclarait avoir été victime d’une cyberattaque réussie auprès de l’ANSSI. Mais ce sont bien les PME et TPE qui concentrent l’essentiel des tentatives frauduleuses. En 2021, elles représentaient à elles seules 43 % de l’ensemble des signalements effectués par des entités – publiques ou privées – auprès de l’ANSSI (collectivités et hôpitaux compris). Les grandes entreprises, elles, représentaient « seulement » 26 % des cas sur la même période.

Cette plus grande exposition des petites entreprises s’explique en grande partie par l’absence ou l’insuffisance de mécanismes de protection contre le risque cyber.

Une surexposition aux attaques pour le secteur e-commerce

Selon le rapport sur la cybersécurité et la protection des données publié par le groupe Thales en juin 2021, ce sont les entreprises liées à des activités de vente qui aimantent en priorité les cyberattaques. 52 % d’entre elles signalent une cyberattaque réussie ayant porté atteinte à leurs données. Elles sont suivies par les entreprises opérant dans la finance (43,6%) et celles traitant de sujets santé (38,2%). L’étude a été menée auprès de 2600 entreprises, dans 10 pays différents, dont la France.

Concernant les cyberattaques visant spécifiquement le cloud, le secteur de la vente reste le plus touché, avec 43 % de brèches exploitées par des hackers.

Le phishing, l’autre épidémie de 2021

Parmi les vecteurs de cyberattaques les plus courants sur l’année 2020, le phishing tire largement son épingle du jeu. C’est le cas auquel les entreprises de toutes tailles sont le plus fréquemment confrontées : elle représente 73 % des attaques, si l’on en croit le baromètre 2021 du CESIN. Ce chiffre est en léger recul par rapport à 2020, où phishing et spear phishing comptaient pour 80 % des cyberattaques.

À la seconde place du podium, on trouve l’exploitation d’une faille, comme un défaut de configuration ou la vulnérabilité d’un logiciel, à hauteur de 53 %. Suit, avec 38 % de signalement, l’arnaque au président.

Parmi les autres chiffres marquants, on peut relever :

la constance des attaques en déni de service, qui comptent pour 25 % des attaques ;
et l’augmentation des attaques indirectes par rebond via un prestataire. Ce cas de figure passe de 16 à 21 % des signalements.

Un manque de protection qui peut coûter cher

En 2020, 61 % des cyberattaques identifiées par les entreprises ont eu un impact sur la conduite de leurs affaires. C’est 3 % de plus que l’année précédente : les attaques informatiques restent donc plus que jamais un sujet stratégique majeur.

Les coûts et dommages les plus graves subis par les entreprises suite à ces attaques sont les suivants :

Une perturbation de la production pendant une période significative, dans 21 % des cas ;
Une compromission des informations, des processus ou des savoir-faire de l’entreprise, qui doivent par conséquent être réadaptés, en partie ou complètement (14%) ;
Une indisponibilité du site web de l’entreprise visible par les clients, pendant une période significative (14%) ;
Un retard de livraison aux clients (11%) ;
Une perte financière directe liée à des transactions frauduleuses (10%) ;
Une perte d’image ou un impact médiatique négatif (9%) ;
Un arrêt de la production sur une période significative (8%) ;
Une perte de chiffre d’affaires, un dommage dont le poids financier est passé de 14 % à 6 % entre 2020 et 2021 ;
Une sanction par une autorité avec un impact négatif sur les affaires ou le chiffre d’affaires direct (2%).

Foire aux questions

Comment porter plainte en cas de cyberattaque ?

Il est fortement recommandé de porter plainte en cas d'attaque informatique. Cela permet aux autorités de mieux évaluer le nombre de cyberattaques réelles mais aussi de leur faciliter les enquêtes sur ces attaques virtuelles difficilement traçables. Il est possible de porter plainte auprès de la gendarmerie ou d'un commissariat de police.

Qu’est-ce que le phishing ou spear phishing ?

Le phishing ou attaque par hameçonnage désigne la technique consistant à envoyer un e-mail qui semble provenir d’une source fiable. L’objectif est :
d’obtenir des informations sensibles ;
ou d’inciter le destinataire à effectuer une action déterminée.

Le message peut contenir une pièce jointe ou un lien cliquable permettant la collecte des informations ou conduisant au téléchargement d’un logiciel malveillant.

Le spearphishing ou harponnage est une forme de hameçonnage très ciblé : les criminels prennent soin de préparer un e-mail plus personnalisé et donc plus difficile à identifier. Ils mènent par ailleurs un travail de recherche plus abouti pour choisir les destinataires.

Qu’est-ce que le ransomware ?

Le ransomware ou rançongiciel paralyse l’entreprise en bloquant l’accès à ses outils informatiques ou en prenant la main sur ses données. Un retour à la normale et l’absence de fuite de données sont promis en échange du paiement d’une rançon.

Sources :

https://www.cesin.fr/actu-7eme-edition-du-barometre-annuel-du-cesin-enquete-exclusive-sur-la-cybersecurite-des-entreprises-francaises.html
https://www.cesin.fr/actu-6eme-edition-du-barometre-annuel-du-cesin.html
https://www.cesin.fr/actu-5eme-edition-du-barometre-annuel-du-cesin-2.html
https://www.cesin.fr/actu-4eme-edition-du-barometre-annuel-du-cesin.html
https://www.cesin.fr/actu-la-3eme-edition-du-barometre-annuel-du-cesin-propose-une-analyse-exclusive-de-la.html
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2021
https://cpl.thalesgroup.com/resources/encryption/2021/data-threat-report
https://www.businesswire.com/news/home/20210602005102/fr/
http://www.senat.fr/rap/r20-678/r20-678_mono.html
https://www.bpifrance.fr/nos-actualites/les-cyberattaques-ont-ete-multipliees-par-4-en-2020
https://www.netexplorer.fr/blog/cyber-securite-2019-en-chiffres
https://www.ssi.gouv.fr/
https://www.daf-mag.fr/Thematique/gestion-risque-1241/cyber-climat-2123/Breves/Les-entreprises-cibles-privilegiees-fraudeurs-2020-364331.htm
https://www.zdnet.fr/actualites/loi-lopmi-pour-payer-la-rancon-il-faudra-deposer-plainte-39939113.htm

Dans la même thématique.

25 avril 2025