Cybersécurité : et si l’on commençait à utiliser les chiffres avec rigueur ?

Ça ressemble à une mauvaise blague, mais elle marquera quelques esprits. Pensez donc, cela vient de Forbes ! « Selon un sondage indépendant mondial de 1 100 professionnels de l’IT et la cybersécurité, les attaques avec ransomware ont touché 80 % des organisations en 2021. Plus de 60 % de ceux qui ont été touchés par les attaques ont payé la rançon ». Imaginez une seconde la situation de l’économie française si ces chiffres s’appliquaient à l’Hexagone !

C’est pourtant la façon dont Edward Segal, qui se présente comme expert en gestion/communication de crise, consultant, et auteur distingué, reprend, sans se poser de questions (ou alors, sans le montrer), des chiffres tirés d’une étude réalisée par Pollfish pour Claroty. Mais l’étude dit autre chose de l’échantillon : il s’agit de « professionnels de la sécurité IT » ou de la sécurité « OT », qui travaillent à plein temps pour des entreprises qui « possèdent, exploitent ou supportent des composants d’infrastructure critique ».

Tout de suite, le périmètre considéré est considérablement réduit. Au pire, ces chiffres pourraient encourager à poser des questions aux organisations désignées opérateur d’importance vitale (OIV) en France. Mais il ne viendrait pas à l’esprit d’extrapoler à l’économie française dans son ensemble.

Plus près de nous, ce sont nos confrères des Echos qui se sont récemment appuyés sur la dernière édition du baromètre Cesin pour dire que « plus d’une entreprise sur deux aurait subi entre une et trois attaques cyber au cours de l’année 2021 ». Las, du fait de l’échantillon concerné, le baromètre Cesin fournit une photographie de ses adhérents, rien de plus. Et elle semble difficilement extrapolable à l’ensemble du tissu économique français. Heureusement d’ailleurs, car ce dernier n’aurait probablement pas bonne mine si, effectivement, plus d’une entreprise sur deux avait subi entre 1 et 3 cyberattaques l’an dernier. Tout ce que la France compte d’experts ne suffirait assurément pas à accompagner toutes les organisations victimes et bon nombre de celles-ci auraient mis la clé sous la porte.

Dans la même logique d’extrapolation sans questionnement, on trouve une récente infographie de MailInBlack : selon celle-ci, le nombre d’attaques avec ransomware a augmenté de 255 % « depuis 2020 », selon l’Anssi. Plus précise et moins dramatique, l’agence explique en fait avoir noté, en 2020, « une augmentation de 255 % des signalements d’attaque par rançongiciel dans son périmètre par rapport à 2019 ». Un périmètre intéressant, mais loin d’être représentatif de l’ensemble du tissu économique français.

Bien sûr, l’infographie est pensée pour promouvoir les solutions de protection de la messagerie de MailInBlack. Sans surprise, viennent les chiffres nécessaires pour supporter l’idée qu’une grosse majorité des « incidents de sécurité sont liés à une erreur humaine ». Une histoire de clic et de pièce jointe, comme il se doit. Mais en fait, ne conviendrait-il pas de dire que 100 % des incidents de sécurité sont liés à une erreur humaine ? Un clic malheureux, mais aussi un correctif non appliqué, une configuration non durcie, l’authentification multifactorielle non déployée… Ce sont bien des erreurs humaines, n’est-ce pas ?

Et il y a les chiffres lâchés sans analyse. Selon un sondage dont les résultats ont été publiés par Cybereason en juin 2021, 80 % des victimes de ransomware ayant payé ont été attaquées à nouveau par la suite. Mais est-ce le fait d’avoir cédé une fois qui a « motivé » des cyberdélinquants à revenir à la charge, comme certains l’interprètent ? Contrairement à l’idée reçue, le fait d’être attaqué à nouveau traduit surtout un effort de reprise d’activité trop hâtif : ainsi, le système d’information n’a pas été proprement nettoyé ; les leçons de l’attaque n’ont pas été dûment retirées. Des nouveaux attaquants – voire les mêmes – ont ainsi pu revenir à la charge.

Et puis viennent les chiffres dont on est même tenté de se demander comment et pourquoi ils ont été publiés. Hitachi ID assure ainsi que des pirates ont approché « 65 % des dirigeants ou de leurs employés » pour se faire aider dans la préparation d’attaques avec des ransomwares. Tout d’abord, l’échantillon des sondés est particulièrement limité : 100 cadres dirigeants aux États-Unis, dont 62 représentants des entreprises de plus de 10 000 collaborateurs et, le reste, entre 5 000 et 10 000. Les sondés sont-ils sûrs de leurs allégations ?

Quelques cas isolés ont été documentés – et l’on pense en particulier à celui de Tesla. Mais le phénomène a-t-il véritablement une telle ampleur ? Après tout, les attaquants semblent disposer d’accès initiaux en nombre bien suffisant pour ne pas avoir besoin de telles complicités internes. Car attention : on ne parle pas là de cas où les attaquants essaient de faire pression sur leur victime en passant par ses collaborateurs – ce qui a également été observé – mais bien de simples préparatifs. 

Qu’on ne s’y trompe pas : les chiffres produits et publiés par les fournisseurs de solutions et services de sécurité informatique – notamment – sont consultés, intégrés, et repris largement. Et bien souvent sans pincettes, parce qu’ils servent un narratif. Il n’est pas question d’imputer à qui que ce soit de mauvaises intentions, mais certaines utilisations de tous ces chiffres peuvent pousser chacun à se construire une image déformée de la réalité de la menace, alimenter des idées reçues infondées, et au final porter préjudice à l’adoption de pratiques et à la mise en place de protections qui changent vraiment la posture des organisations face à la menace.