ENTREPRISES & STRATÉGIES — Technologies

En marge des Luxembourg internet days

Le grand élastique de la cybersécurité



Les attaques se sont multipliées: elles coûtent moins cher aux attaquants qui étudient le ratio coûts/bénéfices comme tous les autres business tandis qu’elles coûtent en moyenne six fois plus cher aux entreprises. Un élastique dangereux. (Photo: Shutterstock)

Les attaques se sont multipliées: elles coûtent moins cher aux attaquants qui étudient le ratio coûts/bénéfices comme tous les autres business tandis qu’elles coûtent en moyenne six fois plus cher aux entreprises. Un élastique dangereux. (Photo: Shutterstock)

Le Covid-19 a bousculé les organisations. Outre leur nombre, les cyberattaques sont devenues moins chères pour les attaquants et plus chères pour les entreprises. Une plaie contre laquelle la lutte s’organise.

Les «script kiddies» sont excités comme des poux. Ceux que la «profession» considère généralement comme des guignols – ou, poliment, comme des débutants – ont profité de la crise pour faire leurs premières dents. Les niveaux suivants ont peaufiné leurs stratégies d’attaque. Et il faudra encore un an ou deux pour que les experts tirent bénéfice de ce qu’ils vont placer discrètement sur les serveurs des entreprises qu’ils visent.

Seuls 12% des entreprises étaient préparés à cette vague d’attaques de tous bords, a expliqué mercredi Bart Asnot (Microsoft), lors des Luxembourg Internet Days. Tout le monde a dû bouger vers une nouvelle approche, les attaquants compris. «Les recherches, les premiers jours, ont montré comment ils cherchaient à s’éduquer sur la manière de mener des attaques plus complexes sur des entreprises de tous les secteurs et de pouvoir monétiser leurs efforts.»

«Pourquoi cela se passe à cette échelle? Parce que les services liés aux attaques sont très bon marché», explique le Belge. Son slide chiffre à 66 dollars (ou 30% des profits) le prix pour un ransomware, de 50.000 dollars à 3,5 millions de dollars (180.000 en moyenne) pour un zero-day (une faille repérée avant que les développeurs n’aient eu le loisir de la corriger) ou à 766,67 dollars par mois pour une attaque en déni de service, par exemple. «Les attaquants ont aussi construit un business model comme nous», explique M. Asnot. «J’ai besoin de tant et de tant de personnes pour gagner tant.»

Le Luxembourg n’est pas épargné par la tendance, note le bulletin météo de la cybersécurité établi chaque trimestre par la division Cyberforce de Post . Entre 70 et 85 attaques ont eu lieu au troisième trimestre, dont une majorité (57%) de phishings, dit le bulletin dans lequel on peut constater la variété des types d’attaques, y compris le sabotage d’une organisation.

Un coût multiplié par six pour les entreprises

Or, entre 2018 et 2019, l’augmentation de ce que cela a coûté aux entreprises était spectaculaire. «Le coût moyen pour les entreprises est passé de 229.000 euros à 369.000 euros, soit une augmentation de 61%», détaillait le rapport annuel de l’assureur Hiscox sur le sujet . «Si l’on applique cette moyenne aux entreprises qui n’ont pas suivi ni quantifié l’impact des cyberattaques, le coût total pour les 3.300 entreprises ciblées s’élève à environ 1,2 milliard d’euros. En ajustant ce chiffre en fonction de l’augmentation du panel d’entreprises sondées cette année et du nombre d’entreprises ciblées, on constate que le coût est plus de deux fois supérieur à celui observé dans le rapport précédent.»

«L’une des données les plus frappantes cette année est le coût moyen du pire incident rapporté. L’an dernier, il était de 34.000 euros. Cette année, il a presque été multiplié par six, pour atteindre près de 200.000 euros. Toutes entreprises confondues, le coût des pires incidents est désormais susceptible de représenter de 3 à 18 fois le budget qu’il représentait il y a seulement un an. Ces chiffres concordent avec les données sectorielles de grande échelle qui révèlent une nette augmentation des demandes de rançon, par exemple, sur l’année 2018», dit encore ce rapport.

Des talents impossibles à trouver

Pendant ce temps-là, relevait, début octobre, le Global Digital Trust Insights 2021 de PwC, 55% des entreprises prévoient d’augmenter les budgets en cybersécurité, mais 13% devraient les maintenir au même niveau et 26% les diminuer. «La cybersécurité est devenue un enjeu business critique. Tirer le meilleur parti de chaque euro dépensé en la matière est devenu nécessaire au fur et à mesure de la numérisation des entreprises: chaque nouveau process ou atout numérique constitue une nouvelle vulnérabilité en matière de cybersécurité», note l’étude .

Et si nombre d’entre elles prévoient de recruter des profils spécialisés… ils sont introuvables ou presque, affirme le même rapport. «Les études les plus récentes indiquent que, rien que sur le marché américain, il y a 50% de besoins non couverts. Dans le monde, 3,5 millions d’emplois en cybersécurité ne devraient pas trouver preneur en 2021.» Sans même parler de la hausse continue des exigences en termes de compétences de ces profils pour qu’ils puissent répondre aux besoins de l’entreprise.

Face à ces contraintes, le Luxembourg développe depuis quelques années sa MISP, ou «malware information sharing platform» , sur laquelle de plus en plus de professionnels peuvent échanger leurs expériences, bonnes ou mauvaises, et rendre leurs collègues attentifs aux évolutions des attaques et de leur complexité.

L’Université du Luxembourg a mis en place un master en sécurité des systèmes d’information .

Les entreprises n’ont ensuite que deux solutions qui ne s’excluent pas: monter leur propre stratégie de défense et, surtout, de monitoring, une démarche à actualiser en permanence, et/ou passer par des fournisseurs de solutions.