Les cybercriminels travaillent comme des pros. Alors pourquoi les entreprises doivent-elles se défendre comme des amateurs ?
La cybercriminalité n'est plus depuis longtemps l'affaire d'un hacker solitaire dans une pièce sombre. Quiconque pense encore aujourd'hui que les cyberattaques sont l'œuvre de geeks isolés qui tentent au hasard de s'introduire dans des systèmes sous-estime la réalité. La cybercriminalité a évolué pour devenir un modèle économique professionnel, avec des équipes spécialisées, une répartition claire des tâches, des formules d’abonnement et une logique économique aussi efficace que celle des entreprises légitimes.
Une opinion de Marco Salvatore, spécialiste des cyberrisques chez AON
Cette prise de conscience s'installe peu à peu dans les entreprises belges. La plupart des entreprises comprennent que le cyber-risque n'est plus un problème théorique, mais une menace concrète. Les organisations investissent dans l'authentification multifactorielle, forment leurs collaborateurs à reconnaître les e-mails de phishing et segmentent mieux leurs réseaux qu'il y a dix ans. Ces progrès sont réels.
Mais parallèlement, une erreur de raisonnement fondamentale persiste : les entreprises traitent encore trop souvent leur cyber-risque comme s’il était comparable à celui de leurs pairs du secteur, surtout lorsqu’il s’agit de cyber-assurances. Et c’est précisément là que le bât blesse.
Une cyberassurance n'est pas un exercice de benchmarking
Personne ne souscrit une assurance automobile en demandant d'abord à ses voisins quel est le montant de leur couverture. Pourtant, c'est ce qui se passe constamment avec les cyberassurances.
Les entreprises s'inspirent de leurs homologues du secteur, comparent les montants assurés et tentent de se caler sur une moyenne. Mais les cyberrisques sont, par définition, uniques. Deux entreprises d'un même secteur peuvent subir un impact financier et opérationnel totalement différent face à un incident identique.
Pourtant, de nombreuses entreprises partent encore trop souvent du montant de la prime qu’elles souhaitent payer, plutôt que de l’impact financier et opérationnel d’un incident grave. Les entreprises belges présentent en outre une vulnérabilité supplémentaire : leurs comptes annuels sont accessibles au public, contrairement à ce qui se passe dans plusieurs autres pays européens. Les cybercriminels peuvent ainsi estimer relativement facilement la capacité financière d’une entreprise et la pression qu’ils peuvent potentiellement exercer.
Cybercriminalité en tant que service
La professionnalisation de la cybercriminalité rend cette erreur de raisonnement encore plus dangereuse.
Aujourd’hui, les cybercriminels travaillent comme des entrepreneurs modernes. Certains développent des logiciels malveillants, d’autres se spécialisent dans les campagnes de phishing ou la manipulation par ingénierie sociale. Il existe des négociateurs qui se consacrent exclusivement aux négociations de rançon. Il existe même des modèles de collaboration dans lesquels des infrastructures ou des logiciels sont mis à la disposition d’autres groupes criminels moyennant paiement : "la cybercriminalité en tant que service".
Le modèle économique qui sous-tend cette pratique est particulièrement attractif. Les gains potentiels sont énormes, tandis que les risques restent relativement limités. Un voleur classique doit être physiquement présent. Un cybercriminel peut opérer à des milliers de kilomètres de là, souvent sous des identités volées ou via des comptes piratés. L'intelligence artificielle accélère encore cette évolution.
Il y a trois ans, les e-mails de phishing étaient encore souvent reconnaissables à leur amateurisme : mauvaises traductions, expéditeurs étranges et mise en page maladroite. Aujourd’hui, l’IA est capable d’imiter parfaitement le style d’écriture d’un collègue, y compris le ton, le vocabulaire et le contexte interne. Une attaque qui fonctionne dans une entreprise peut ensuite être rapidement étendue à des centaines d’autres entreprises. Le jeu du chat et de la souris entre les entreprises et les cybercriminels devient donc de plus en plus inégal.
Gagner du temps, c'est gagner en puissance
Cela ne signifie toutefois pas que les entreprises sont impuissantes. La plus grande erreur que les organisations puissent commettre est de penser que la cybersécurité est un objectif final. Comme si un investissement réalisé aujourd'hui offrait une protection suffisante pour les années à venir. En réalité, la cybersécurité est un processus d'adaptation permanent.
Mais il est tout aussi important de se préparer au moment où les choses tournent mal. Lors d'attaques de ransomware de grande ampleur, tout est une question de temps. Plus une organisation retrouve rapidement ses capacités opérationnelles, plus le pouvoir de négociation des cybercriminels s'amenuise. Une entreprise qui a rétabli 80 % de ses activités au bout de trois semaines se trouve dans une position bien plus forte qu'une entreprise complètement paralysée. Cela modifie le rapport de force.
Les cybercriminels misent sur la panique, la pression du temps et les pertes économiques pour contraindre leurs victimes à payer. Ceux qui sont préparés, qui ont mis au point des processus alternatifs et qui peuvent se rétablir plus rapidement réduisent considérablement cette pression.
Ce n’est pas un problème informatique, mais un risque pour l’entreprise
Trop de dirigeants considèrent encore la cybersécurité comme un dossier technique relevant de l’informatique. C’est une erreur.
La cybercriminalité touche aujourd’hui le cœur même de toute entreprise : la production, le chiffre d’affaires, la réputation, les relations clients et la propriété intellectuelle. Il ne s’agit donc plus seulement de pare-feu et de mises à jour logicielles, mais de gestion stratégique des risques.
Et c’est précisément pour cette raison que les entreprises doivent cesser de se comparer à leurs voisins. Les cybercriminels ne traitent pas non plus leurs victimes en fonction de moyennes. Ils analysent les faiblesses individuelles, la capacité financière et les dépendances opérationnelles. Les entreprises belges devraient organiser leur défense de la même manière.
Dans un monde où les cybercriminels opèrent comme des entreprises, il ne suffit plus de se protéger comme si l'on avait affaire à des amateurs.
