Le Security Navigator Report 2023 d’Orange Cyberdefense dresse un panorama inquiétant de la cybercriminalité. L’Europe est de plus en plus attaquée. Les PME, l’industrie et le secteur public sont particulièrement touchés.

Chaque année, Orange Cyberdefense effectue un bilan des cyberattaques et de la cybercriminalité à partir des données recueillies dans ses 13 CyberSOC (Centres opérationnels de détection et réponse) implantés dans le monde entier.

Disponible à partir du 1er décembre mais dévoilé en avant-première à la Presse aujourd’hui, le dernier rapport porte sur 99 506 incidents potentiels ayant fait l’objet d’une investigation par les CyberSOC, un chiffre en augmentation de 5% par rapport à l’année précédente (alors qu’en 2021 l’augmentation s’élevait à 13%). Cela représente en moyenne 34 incidents par mois et par client d’Orange, soit un incident par jour et par organisation !

L’Europe en ligne de mire

Constat majeur de cette édition 2022, les attaques semblent se déplacer des États-Unis et du Canada vers l’Europe et l’Asie. De 2021 à 2022, le nombre de victimes basées en Amérique du Nord a baissé, de 8% aux États-Unis et de 32% au Canada. Parallèlement, il a considérablement augmenté en Europe (+18%), au Royaume-Uni (+21 %), dans les pays nordiques (+138 %) et en Asie de l’Est (+44 %).

Si les typologies d’attaques restent diverses, les cyber-extorsions (dont ransomwares) et les logiciels malveillants ont été particulièrement virulents. Cette dernière catégorie reste très présente : 40 % des incidents traités par les CyberSOCs d’Orange ont impliqué des logiciels malveillants.

Tous ciblés…

Particulièrement sujettes aux malwares, les PME se révèlent également très ciblées par les cyber-extorsions. Ainsi, les petites entreprises sont 4,5 fois plus nombreuses à être victimes de cyber-extorsion que les moyennes et grandes entreprises réunies. Cependant, après les PME, c’est le secteur industriel qui se révèle le plus ciblé : c’est même le secteur le plus touché en nombre de victimes de cyber-extorsions. Toutefois, même dans ce secteur, les systèmes d’information classiques sont beaucoup plus souvent attaqués que les systèmes opérationnels (Operational Technology – OT).

Le rapport souligne que près de la moitié (47 %) de l’ensemble des incidents de sécurité détectés sont provoqués par des acteurs en interne, délibérément ou accidentellement.

Le secteur public arrive en cinquième position des cibles touchées. Il connaît le plus grand nombre de cas d’attaques par ingénierie sociale. La santé est spécialement en première ligne. Et 76 % des attaques sont attribuables à des acteurs externes, cybercriminels et APT (Advanced Persistant Threat), des groupes souvent soutenus par des états.

Le Security Navigator Report inclut désormais aussi des données de près de 5 millions de mobiles, Android et iOS. Il a comptabilisé en un an 547 vulnérabilités pour Android et 357 pour iOS. 79 % des vulnérabilités Android ont été considérées comme peu complexes contre 24 % pour iOS.

Bien sûr, les mobiles ont tendance à se mettre à jour bien plus automatiquement que les ordinateurs et serveurs. La plupart du temps, les entreprises essayent de contrôler les mécanismes de mise à jour de leurs PC et serveurs alors qu’elles conservent les mécanismes automatiques « grand public » sur les mobiles.
Reste que, le rapport avance qu’il a fallu 224 jours pour que 90 % de l’écosystème iOS d’Apple passe à la version corrigée. Pour Android comme pour iOS, il apparaît qu’environ 10 % de la base d’utilisateurs n’appliquera jamais les correctifs correctement.

Des correctifs toujours trop lentement déployés

En matière de vulnérabilités justement (au sens large et pas uniquement mobiles) ; le rapport constate malheureusement que les entreprises mettent encore 215 jours en moyenne pour corriger une vulnérabilité signalée, même dans le cas d’une vulnérabilité critique ou élevée. Cependant, en la matière, Orange Cyberdéfense constate d’importantes disparités selon les secteurs. Dans les hôpitaux, il faut compter 491 jours en moyenne pour voir une faille être corrigée. Dans les transports, c’est encore pire : il faut en moyenne 473 jours.

Pour rappel, il faut en moyenne 7,7 jours à des hackers éthiques pour découvrir une vulnérabilité sérieuse dans un système.

Plus inquiétant sans doute, les équipes d’Orange Cyberdefense ont identifié la persistance des vulnérabilités sur les systèmes informatiques des entreprises, dont 47% identifiées comme d’une gravité « critique » ou « élevée »… Les autres vulnérabilités peuvent persister beaucoup plus longtemps que les chiffres annoncés ci-dessus, voire simplement ne jamais être corrigées.

Ne l’oublions pas,  la cybersécurité est aussi une question de célérité…

À lire également :

Que nous apprend le piratage des données d’OpenSea?

4 entreprises américaines sur 5 ont fait jouer leur cyberassurance

Eset constate une activité intense des groupes de cybercriminels

La cybersécurité, un motif de résilience pour les entreprises ?

La convergence entre IT et OT enfin sur la bonne voie ?