Qu’il s’agisse de rançongiciel ou d’intrusion et vol de données dans une application métier accessible en ligne, la multiplication des incidents de sécurité apparaît avoir conduit à une forme de banalisation. Mais sans qu’elle s’accompagne des mesures appliquées à d’autres risques bien acceptés de longue date.
Avez-vous remarqué que le nombre de cyberattaques avec rançongiciel est singulièrement reparti à la hausse au cours du premier trimestre 2025, suivant une tendance engagée à l’automne dernier, et rappelant l’explosion de la menace en 2023 ?
Probablement pas. Certes, le cas de Harvest a attiré pas mal d’attention. Mais au-delà… Peut-être parce qu’il n’y a pas eu d’hôpital paralysé à déplorer au cours des trois premiers mois de l’année, ou que l’accalmie observée en 2024 pour la France a conduit à une certaine torpeur. À moins que ce ne soit dû à la multiplication des vols et brèches de données, l’an passé, qui a considérablement banalisé les menaces cyber dans leur globalité.
Non sans grincer des dents, lors d’un panorama de la menace pour l’Observatoire de la Cybersécurité de l’Océan Indien (OCOI), j’ironisais ainsi : « un Français dont les données personnelles n’ont pas été compromises au moins 6 fois en 2024 est un Français qui a raté sa transition numérique ».
Allan Liska est spécialiste du renseignement sur les menaces chez Recorded Future. Il s’est récemment interrogé sur le sujet : « la plupart du temps, tout le monde s’en moque et j’essaie de comprendre pourquoi. J’ai déjà parlé de la lassitude à l’égard des ransomwares dans les conseils d’administration, mais c’est différent. Même les journalistes qui écrivent habituellement sur les ransomwares ne parlent plus des incidents aussi souvent qu’avant. Plusieurs journalistes m’ont même dit que Cl0p s’est plaint que personne ne couvre son exploit Cleo et les fuites de données qui ont suivi ».
À vrai dire, nous-mêmes avons choisi de ne pas compter les revendications relatives à cette campagne comme autant de cyberattaques, mais seulement comme une unique campagne. Il n’est pas difficile d’imaginer que Cl0p n’apprécie guère que son décompte mensuel de victimes soit ainsi réduit à 1 au lieu de quelques centaines. Mais nous ne sommes pas au service de son marketing.
Pour Allan Liska, le phénomène est au moins en partie imputable au temps de cerveau disponible de chacun – en termes plus élaborés, on parle de l’économie de l’attention. Et justement : « il se passe beaucoup de choses en ce moment, et beaucoup de mauvaises choses ». Un contexte dans lequel il est difficile d’attirer l’attention sur les ransomwares.
« Les entreprises et les risks managers doivent poursuivre leurs actions en matière de prévention. On ne peut (et on ne pourra jamais) baisser la garde. »
Oliver WildPrésident de l’Amrae et directeur des risques et des assurances de Veolia
Ce n’est pas nécessairement un mal : « les groupes de ransomwares sont passés maîtres dans l’art de contrôler l’économie de l’attention, mais leur pouvoir est en train de s’estomper ». En outre, « bien que les attaques de rançongiciel aient augmenté ce trimestre, tout indique que le nombre et le montant des paiements de ransomware sont en baisse », ajoute-t-il encore.
Une raison de sabrer le champagne ? Hélas non, puisque le nombre des attaques est reparti à la hausse. Surtout, cette banalisation de la menace ne semble pas s’accompagner encore assez largement de l’adoption de mesures appropriées du côté des victimes potentielles.
Passons sur la prise de conscience de la menace que représentent les infostealers et la posture de sécurité des organisations, ou même leur maturité sur le sujet de la cybersécurité. Ou pas en fait.
Car sur des risques bien connus, s’assurer n’est plus même une question. Mais pour la cyberassurance… Certes, 72 % des membres du Cesin avaient, en 2024, souscrit une telle assurance. Mais on parle là d’un club dit « d’experts », dont la totalité des membres n’a donc pas souscrit de cyberassurance et dont 18 % ne comptent pas le faire.
L’an dernier, Oliver Wild, président de l’Amrae, et directeur des risques et des assurances de Veolia, ne mâchait pas ses mots : « le volume des primes et des couvertures demeure en deçà de l’exposition réelle au risque et témoigne d’un marché encore fragile et sous-assuré ».
Pour lui, le constat est simple : « les entreprises et les risks managers doivent poursuivre leurs actions en matière de prévention. On ne peut (et l’on ne pourra jamais) baisser la garde ». Surtout, « cette vigilance doit systématiquement s’accompagner d’une meilleure quantification financière de l’exposition au risque cyber ».
