Malgré la défense réussie des Jeux Olympiques, l'année 2024 a été marquée par une explosion des cyberattaques, une augmentation de la surface d'attaque et, forcément, une hausse importante des coûts de la cybermenace. Si les observateurs ont bien constaté une appropriation de l'intelligence artificielle par les cybercriminels, les entreprises de cybersécurité ne sont pas en reste. Article paru dans L'Informaticien n°232 (janvier 2025).
Annoncés comme un cataclysme cyber, les Jeux Olympiques et Paralympiques de Paris se ont été, au contraire, un franc succès, comme l’indiquent les autorités. Publié quelques jours après la clôture des Jeux, le bilan de l’Agence nationale de la sécurité des systèmes d’information (Anssi) a recensé 141 incidents entre le 26 juillet et le 11 août, dont 22 ont été menés à bien, mais avec un impact relativement faible. « La clé de ce succès : la mobilisation d'une coalition d'acteurs (Anssi, COM Cyber) et la nomination d'un délégué dédié, qui a permis une coordination efficace autour des entreprises cruciales pour le bon déroulement des Jeux », a salué l’éditeur Sesame IT, dans son bilan 2024 sur la cybersécurité.
Les centaines d’organisations impliquées dans les JO étaient pour l’essentiel des fédérations sportives, des PME et des collectivités. Réputées vulnérables, elles ont mis en place des mesures d’hygiène numérique et des bonnes pratiques de base. Sesame IT estime que « la protection numérique à l'œuvre lors des JO doit devenir la nouvelle norme en matière de cybersécurité ». Tout l'enjeu consiste désormais à passer à l'échelle supérieure et à entraîner des milliers d'entités à mieux se protéger.
Les ransomware toujours au top
Dans l’ensemble, la situation s’est aggravée et le paysage cyber de 2024 est plus que jamais moribond. Selon les dernières estimations issues des Technology Market Insights de Statista, le coût total des cyberattaques et autres actes malveillants en ligne devrait atteindre 129 milliards de dollars cette année, contre 94 milliards en 2023.
« Une fois encore, l’année a été riche en nombre d’attaques ayant mené à des vols de données et à leur mise en vente sur des marchés criminels », fait remarquer David Grout, Chief Technical Officer (CTO) chez Mandiant pour la zone EMEA. Si les données divergent d’une étude à l’autre, des tendances se dégagent. Toutes ont effectivement constaté une hausse des incidents de sécurité. Le rançongiciel (ransomware) constitue, une fois de plus, le type de menace le plus répandu. Sur la période de juin 2023 à juin 2024, le Microsoft Digital Defense Report 2024 fait état, quant à lui, d’un doublement des cyberattaques d’une année sur l’autre, avec 78 000 milliards de signaux de sécurité analysés, soit + 20 % de plus qu’en 2023. Les rançongiciels comptent parmi les attaques les plus répandues. La firme de Redmond a également observé que les attaques sur les mots de passe sont passées de 4 000 chaque seconde en 2023 à 7 000 par seconde un an plus tard.
Selon le rapport annuel de Check Point Software, les rançongiciels représentent, à eux seuls, 46 % des cas. Le nombre de victimes par ransomware a explosé de 90 % par rapport à 2023 et celles exposées publiquement ont doublé pour atteindre 5 000. Ce dernier chiffre n’est pas anodin et traduit une stratégie de plus en plus adoptée par les pirates, qui consiste à mettre au pilori les entreprises compromises – une façon de leur mettre la pression exercée pour les forcer à payer.
Des stratégies de défense qui posent question
Autre exemple, une étude de Cohesity, réalisée auprès de 3 000 décideurs IT dans huit pays, montre une augmentation des cyberattaques et, en particulier – roulement de tambour – des ransomwares. Les chiffres sont éloquents : 86 % des entreprises françaises interrogées ont confirmé avoir été victimes d’une attaque par rançongiciel en 2024, contre 53 % en 2023. En outre, 92 % des organisations françaises interrogées et 69 % à l’échelle mondiale reconnaissent avoir versé une rançon à des cybercriminels au cours de l’année écoulée, alors même que la plupart affichent une politique de non-paiement des rançons.
Cette hausse s’explique de plusieurs manières, déjà bien connues et documentées. Parmi elles : l’augmentation de la surface d'attaque, la complexité croissante des infrastructures, les attaques de la Supply Chain, la sophistication et l’efficacité croissante des cybercriminels, la stratégie de Ransomware-as-a-Service qui consiste à vendre des services clés en main à de plus petits acteurs, multipliant ainsi le nombre d’acteurs malveillants et, dans une moindre mesure, l’adoption de l’IA générative. Ces chiffres toujours plus alarmants d’une année sur l’autre soulèvent de nombreuses questions quant à l’efficacité des stratégies actuelles adoptées par les entreprises, alors même que le cadre réglementaire s’est durci ces dernières années. Car c’est aussi, encore et toujours, la combinaison de plusieurs facteurs, allant des insuffisances persistantes en matière de protection au sein des organisations aux comportements à risque des salariés en interne, en passant par le manque de ressources et de budgets alloués à la cybersécurité, qui mène à ces compromissions. Le simple fait de payer la rançon est considéré comme un risque en soi par Cohesity, qui rappelle que cela conforte les criminels dans leurs actions et les pousse souvent à attaquer les bons payeurs à plusieurs reprises.
Petite lumière au bout du tunnel : les conseils d’administration et comités exécutifs prennent, chaque année, un peu plus conscience de l’importance de la cybersécurité, et 2024 ne fait pas exception. Le tissu économique prend aussi toujours un peu plus la mesure du risque. « Il y a tellement d'attaques réussies depuis plusieurs années qu’il y aura toujours un membre, au sein d’un conseil d’administration ou d’un comité exécutif (Comex), qui aura déjà vécu une attaque dans une autre entreprise où il siège », fait remarquer Raphaël Marichez, CSO régional pour l'Europe du Sud et la France chez Palo Alto Networks.
Dans ce contexte, le RSSI est davantage connecté aux organes de direction, que ce soit comme membre permanent ou en tant que consultant régulier, pour garantir que la cybersécurité est prise en compte dans les décisions stratégiques. Il reste toutefois un long chemin à parcourir. Une étude de Trend Micro portant sur 2 600 RSSI, publiée en avril 2024, a dépeint un manque d’adhésion des conseils d’administration aux enjeux cyber : 79 % des répondants ont déclaré avoir ressenti une pression de la part du conseil d'administration pour minimiser la gravité des risques auxquels leur organisation est confrontée. Autre enseignement : 42 % ont estimé qu'ils étaient perçus comme trop négatifs, et seulement 56 % que leur dirigeant comprenait les risques.
La question de la cybersécurité est encore trop regardée sous le prisme de la mise en conformité. Les entreprises sont soumises à des exigences réglementaires de plus en plus strictes. Une mise en conformité qui coûte cher et qui doit donc faire l’objet d’arbitrages. Les conseils d'administration préfèrent des réponses stratégiques aux questions clés sur la cybersécurité, comme son impact sur les objectifs commerciaux ou le ROI (retour sur investissement), plutôt que des détails techniques ou des métriques complexes. Les RSSI qui alignent la cybersécurité sur la stratégie commerciale gagnent en crédibilité, tandis que les autres sont marginalisés. Près de 46 % des RSSI ayant mesuré la valeur commerciale de leur stratégie ont vu leur influence renforcée.
L’année 2024 a effectivement été marquée par un renforcement des exigences de conformité pour certaines entités, avec notamment l’entrée en application de la directive NIS 2, le 17 octobre dernier. Elle établit un ensemble de mesures juridiques, techniques et organisationnelles que les entités fournissant des services essentiels devront adopter en fonction du niveau de risque, pour renforcer leur défense et leur résilience opérationnelle. Quelque 15 000 structures sont concernées, rien que pour la France. Mais les effets de cette loi ne se feront pas sentir immédiatement. Son parcours législatif a été bousculé par la dissolution de l’Assemblée nationale en mai 2024. Sa transposition en droit national est passée en conseil des ministres et doit maintenant être discutée au Parlement. Une fois la loi de transposition votée, les entités concernées disposeront de trois ans pour mettre en œuvre les mesures de sécurité attendues.
Des attaques sur mesure
C’était la grande interrogation de l’année : quel serait l’impact de l’intelligence artificielle et de son pendant génératif dans le paysage cyber en 2024 ? « Avec l’IA, une seule personne pourrait effectuer en quelques secondes ce qu’une équipe de hackers réalise en quelques jours aujourd’hui. Comme pour le Ransomware-as-a-Service (RaaS) en 2014, l’intérêt pour les grands modèles linguistiques (LLM) va se développer sur le darknet », prédisait l’éditeur de cybersécurité Quarkslab en 2023. Même son de cloche du côté de Palo Alto Networks, qui prévoyait que les attaquants allaient exploiter les LLM pour améliorer leurs emails d’hameçonnage ou lancer des attaques améliorées afin d’accroître leur taux de succès. Qu’en est-il un an après ?
« La moitié des attaques réussies sur lesquelles Unit42 (la division de recherche et de services en cybersécurité de Palo Alto Networks, ndlr) est intervenue, révèle un intervalle de temps de plus en plus court entre la première compromission et l'accomplissement de l'objectif final de l’attaquant », développe Raphael Marichez. Cet intervalle est désormais en train de passer sous la barre des 24 heures. « C’est la première fois que nous observons cela ». Ce qui suggère, selon l’expert, un recours à des capacités d’IA et d’automatisation.
De son côté, Mandiant a observé que, pour l’essentiel, l’IA générative est utilisée par les attaquants pour réaliser des campagnes de phishing et de spear-phishing (hameçonnage personnalisé) plus convaincantes. « Notamment en exploitant de nouvelles langues » précise David Grout, comme le japonais, qui sont plus difficilement exploitables par les attaquants qui mobilisent des LLM publics et des LLM malveillants comme Worm GPT pour produire des campagnes parfaitement traduites et adressables à de nouvelles cibles.
Mandiant a également observé des tentatives d’utilisation de modèles dans l’accompagnement au code pour la création ou l’adaptation de malware. Pour autant, 2024 n’aura pas été l’année de la généralisation des usages malveillants, soutient David Grout, qui prévient toutefois que le recours par les attaquants à l’IA générative et à l’IA plus globalement « s’intensifiera en 2025 ».
L’IA en 2024, d’abord une affaire de défenseurs
« Aujourd'hui, l'avantage est encore du côté de la défense », fait remarquer David Grout. Aucun doute, selon l’expert, que les acteurs malveillants n’ont pas la main sur la compréhension et le savoir-faire autour de l’IA. Développer, exploiter et maintenir cette technologie mobilisent des compétences techniques avancées et engendrent des coûts et des investissements importants, liés aux exigences de puissance de calcul pour l’entraînement des modèles et aux coûts d’usage notamment. Les cybercriminels n’ont ainsi pas les ressources nécessaires pour exploiter pleinement les avantages de l’IA, à la différence de certaines entreprises.
Car 2024 a été marquée par les très nombreuses annonces d’éditeurs qui ont ajouté de nouvelles capacités d’IA et de GenAI dans leurs solutions et services, afin de gagner en productivité. EDR, SOAR, SOC… tout y passe. Dernier en date, l’intégrateur réseau et sécurité Nomios qui a annoncé, en décembre 2024, intégrer la technologie du français Qevlar AI pour améliorer l’efficacité des analystes de ses centres opérationnels de sécurité (SOC). Qevlar AI va permettre d’investiguer les alertes, analyser et structurer les données de façon autonome, puis générer des rapports détaillés et des actions correctives à mener. Un rapport d’investigation pourra être généré en 3 minutes par l’intelligence artificielle, contre 30 minutes auparavant. Éric Bohec, CTO de Nomios, affirme que les analystes pourront dès lors « se concentrer davantage sur des missions critiques et à forte valeur ajoutée pour nos clients », comme le traitement des alertes prioritaires, la création de nouveaux playbooks, l’évaluation de nouvelles solutions de sécurité, entre autres.
Un rapport du Capgemini Research Institute, publié en novembre 2024 et intitulé « Nouvelles défenses, nouvelles menaces : ce que l’IA et l’IA générative apportent à la cybersécurité », révèle que plus de 60 % des organisations qui utilisent ces technologies dans leurs SOC ont signalé une réduction de 5 % des temps de détection des incidents, 40 % ont déclaré une diminution de 5 % du temps de remédiation. Des gains a priori relativement faibles qui ne tempèrent toutefois pas l’enthousiasme des entreprises. « 61 % considèrent l’IA comme critique pour répondre efficacement aux menaces et permettre la mise en œuvre de stratégies de sécurité proactives contre des attaques de plus en plus sophistiquées », note effectivement le rapport. Ces sociétés en sont pour la plupart encore au premier niveau d’adoption, qui consiste essentiellement à automatiser des tâches fastidieuses et à faible valeur ajoutée. D’autres utilisent déjà l’intelligence artificielle à un niveau plus avancé. Google a annoncé, en fin d’année, que son outil d'intelligence artificielle Bip Sleep, développé par Project Zero et DeepMind, avait détecté une faille zero-day dans SQLite, un moteur de base de données open source. Une première.
La menace du Shadow AI
L’IA apporte aussi son lot de vulnérabilités qui donnent des sueurs froides aux RSSI et qui ont été largement documentées cette année. L’avènement de l’IA générative a fait craindre une explosion de la génération de codes malveillants par des cybercriminels ou de codes de mauvaise qualité par les développeurs. C’est finalement un autre risque qui leur a volé la vedette. On connaissait le Shadow IT, désormais les organisations doivent composer avec le Shadow AI. Il consiste en l’utilisation non autorisée par des collaborateurs d’applications et d’outils d’IA en dehors des cadres approuvés par l’entreprise.
Ce phénomène inquiète particulièrement les responsables de la sécurité des systèmes d’information (RSSI), car il expose à des risques importants, notamment des fuites de données. Par exemple, un chatbot pourrait analyser des informations financières, IT et RH sans distinction, exposant ces données dans des conversations inappropriées. À cela s’ajoute un manque, voire une absence de segmentation ou d’étiquetage clair des données en interne, ce qui pose un problème de gouvernance. Par exemple, un salarié pourrait très bien interroger un chatbot sur sa fiche de paie, et des informations sensibles pourraient ensuite apparaître dans un échange sur les augmentations salariales, créant des situations délicates.
Face à cela, les entreprises peuvent adopter une posture restrictive, autorisant un nombre limité de solutions et bloquant les autres par défaut. « Malgré tout, des outils d'IA et de productivité se glissent dans les réseaux sans supervision », note Raphael Marichez, et collectent des données, les traitent puis les restituent via des agents conversationnels. D’après le rapport du Capgemini Research Institute, 39 % des organisations ayant mis en place des restrictions d’usage constatent des violations fréquentes desdites règles.
Pour 2025, « le chantier restera le même : bloquer les accès aux technologies qui ne seraient pas autorisées pour certains cas d’usage, sensibiliser aux bonnes pratiques et bons usages, et rediriger les salariés vers des outils internes ou ayant fait l’objet d’une contractualisation. Nous en sommes encore là », confie Raphael Marichez.
Deepfakes : la menace qui monte, qui monte
Cette année qui s’achève a marqué un tournant concernant les deepfakes. De nombreuses campagnes d’arnaques ont été recensées et documentées. Début septembre, les chercheurs de l'Unit 42 de Palo Alto ont publié une étude recensant des dizaines de campagnes d'escroquerie utilisant des vidéos deepfake et mettant en scène des personnalités publiques, comme des PDG ou des responsables gouvernementaux. Ces technologies ouvrent la voie à un nouveau genre d’arnaques financières très convaincantes, en offrant aux escrocs de nouveaux moyens sophistiqués pour manipuler et piéger les salariés en se faisant passer pour des dirigeants ou des figures d’autorité. Exemple le plus frappant, ce salarié d’une entreprise financière basée à Hong Kong qui a transféré 25 millions de dollars à des criminels après avoir été trompé par des deepfakes de ses collègues et de son supérieur. À l’avenir, la détection reposera davantage sur le recours à des outils utilisant eux-mêmes l’intelligence artificielle pour identifier des extraits générés ou modifiés par une IA. Comme souvent en cybersécurité, les organisations et leurs collaborateurs ne peuvent se contenter des seules technologies de protection, mais devront redoubler de vigilance. Il incombe également à chaque salarié de développer, plus que jamais, une forme de scepticisme à l’égard de ce qu’il voit et entend.
