• Selon
l'expert en cybersécurité Nicolas Ippolito, « les organisations devraient
régulièrement « se hacker » elles-mêmes pour tester leur cyber-résilience ».
• Avec 278 770 cas de cybercriminalité
enregistrés en 2023, un chiffre en hausse, les organisations ont du mal à
protéger leurs systèmes contre les cyberattaques.
• Les conséquences des incidents de
cybersécurité peuvent aller des pertes financières à une atteinte durable à la
confiance.
En se focalisant
essentiellement sur des outils défensifs, le tissu économique français risque
de passer à côté de l’essentiel : adopter une démarche de sécurité offensive
pour mesurer et renforcer la cyber-résilience. C’est l’analyse de Nicolas
Ippolito, Responsable Commercial de la France chez Horizon3.ai. Il rappelle
que, dans la finance, des tests de résistance (« stress tests ») sont imposés
par la Banque centrale européenne (BCE) depuis plusieurs années. « Toutes les
organisations, quel que soit leur secteur, auraient intérêt à se soumettre
volontairement à des tests de résistance réguliers », recommande l’expert.
Dans un tel test de
résistance — techniquement appelé « test d’intrusion » ou simplement « pentest
» — des hackers éthiques (« white hats ») sont mandatés par une organisation
pour pénétrer son propre réseau afin d’y déceler des faiblesses. Mais, selon
Nicolas Ippolito, cela ne nécessite plus d’intervenants humains : « Aujourd’hui,
des plateformes autonomes de tests de résistance sont disponibles directement
dans le cloud, prêtes à l’emploi et abordables. »
L’expert en sécurité
explique :
« Les pentests autonomes relèvent d’une approche de sécurité offensive.
Cette approche permet de mettre au jour des vulnérabilités qui passent souvent
inaperçues lors d'audits traditionnels. Les organisations obtiennent ainsi une
vision claire des mesures de protection efficaces et des actions prioritaires à
mener. »
Selon la division de la
cybercriminalité du ministère de l’Intérieur, 278 770 faits de cybercriminalité
ont été recensés en 2023*. Le Rapport 2024 sur la cybercriminalité du ministère
souligne que les cyberattaques sont devenues un facteur de risque majeur pour
les entreprises, avec des conséquences allant de lourdes pertes financières et
arrêts d’exploitation à la perte durable de confiance des clients et des
partenaires.
Exigences croissantes
en matière de cyber-résilience
Nicolas Ippolito
souligne aussi le durcissement du cadre européen de cybersécurité et les
obligations supplémentaires qui en découlent pour les entreprises. Au-delà des
règles déjà en vigueur dans la finance, de nombreux secteurs d’infrastructures
critiques sont concernés. C’est le cas de la nouvelle directive NIS2 (sécurité
des réseaux et des systèmes d’information). Les débats parlementaires sur sa
mise en œuvre sont attendus à l’automne 2025, pour une adoption définitive
envisagée fin 2025 ou début 2026. Nicolas Ippolito rappelle que le risque cyber
dépasse largement le périmètre propre d’une entreprise et inclut ses
fournisseurs et partenaires de distribution : « Une attaque visant un
partenaire peut rapidement se propager à l’ensemble des organisations
interconnectées. C’est pourquoi NIS2 couvre explicitement toute la chaîne
d’approvisionnement. »
Mais Nicolas Ippolito
prévient que même les organisations hors périmètre OIV (Opérateur d’Importance
Vitale) ne sont pas à l’abri de conséquences sévères. « Si une organisation —
quel que soit son secteur ou sa taille — est victime d’une cyberattaque, les
répercussions sont rarement limitées à des dommages financiers »,
explique-t-il. « La responsabilité des instances dirigeantes est presque
toujours engagée. Les conseils d’administration et les équipes dirigeantes qui
continuent de négliger la cybersécurité doivent en faire une priorité urgente.
»
Tests d’intrusion «
abordables pour toute entreprise de taille moyenne »
L’expert en sécurité
souligne que les tests d’intrusion autonomes, délivrés en mode SaaS, sont
désormais « abordables pour toute entreprise de taille moyenne ». «
Les coûts évoluent en fonction du nombre de postes et de la taille du réseau »,
explique Nicolas Ippolito. Ce qui était autrefois réservé aux grands groupes
est désormais accessible aux PME et ETI : la solution est simple à utiliser,
sans recourir à des hackers externes. Ippolito rappelle aussi que le coût d’un
pentest doit être mis en perspective des dommages potentiels d’une
cyberattaque. Selon la Cour des comptes, l’impact financier moyen d’une attaque
représente 5 à 10% du chiffre d’affaires annuel, quelle que soit la taille ou
le secteur de l’entreprise.
Tous les équipements
connectés sont exposés
Au-delà du coût
maîtrisé et de la simplicité d’usage, Nicolas Ippolito met en avant un autre
atout majeur d’une plateforme de pentest SaaS : elle étend les tests au-delà
des ordinateurs à l’ensemble des machines et dispositifs connectés. « Si des
cybercriminels prennent le contrôle de caméras de sécurité sur un site
industriel, c’est la sécurité de toute l’organisation qui est en jeu »,
avertit-il — rappelant que l’exigence de cyber-résilience dépasse largement les
systèmes informatiques traditionnels.
Il souligne aussi
l’urgence :
le délai entre la découverte d’une vulnérabilité et son exploitation par des
attaquants se réduit rapidement. Les entreprises ont donc de moins en moins de
temps pour déterminer si leurs réseaux sont exposés. “Compte tenu de la
complexité des environnements informatiques actuels, il est pratiquement
impossible pour une organisation d’établir en temps utile si chaque nouvelle
faille la concerne — sans parler des coûts considérables que cela implique”,
explique Nicolas Ippolito.
L’IA, accélérateur des
scénarios d’attaque
Les organisations de
toutes tailles demeurent trop confiantes, avertit Nicolas Ippolito. La plupart
des équipes informatiques manquent déjà de visibilité sur les nombreuses
vulnérabilités potentielles de leurs réseaux. Ce n’est guère surprenant : les
environnements se complexifient tandis que les attaques gagnent en rapidité et
en sophistication.
Selon Nicolas Ippolito,
un facteur accélère davantage que tout autre la cybercriminalité :
l’intelligence artificielle. Des attaques complexes peuvent désormais être
automatisées et menées avec un effort minime — non seulement par des acteurs
étatiques, mais aussi par des groupes cybercriminels organisés. Ces méthodes
s’appliquent dans tous les secteurs et peuvent rester indétectées longtemps,
causant des dommages importants avant d’être repérées.
La plateforme autonome
de tests d’intrusion NodeZero, pilotée par l’IA, a montré lors son utilisation
chez des clients que les défenses d’entreprise peuvent souvent être contournées
en quelques minutes. NodeZero intègre aussi des tactiques d’ingénierie sociale,
exploitant les faiblesses humaines — par exemple lorsqu’un employé utilise le
nom de son animal de compagnie comme mot de passe après l’avoir divulgué sur
les réseaux sociaux. « Dans la plupart des cas, une seule faille suffit à
donner aux attaquants l’accès à l’infrastructure numérique », met en garde
Nicolas Ippolito.
Les scanners de
vulnérabilités ne suffisent pas
La plupart des
entreprises ont conscience de l’escalade de la menace, constate Nicolas
Ippolito, mais beaucoup s’appuient encore sur des défenses inadéquates. « Il
n’est pas rare que des organisations fassent coexister 20 à 40 outils de
sécurité en parallèle, sans vraiment savoir comment ils interagissent, ni
quelle est leur efficacité réelle », souligne-t-il.
Un angle mort fréquent
est la dépendance aux scanners de vulnérabilités. Ils recensent de nombreuses
failles et leur attribuent des notes de risque, mais ne mettent pas en évidence
celles qui sont vraiment critiques pour une organisation donnée.
« Aucune équipe informatique ne peut corriger chaque vulnérabilité divulguée au quotidien », insiste Nicolas Ippolito. L’essentiel, c’est la priorisation — se concentrer sur les faiblesses qui exposent réellement l’activité de l’entreprise. « Cette clarté ne vient qu’à travers des attaques simulées et systématiques de son propre environnement : c’est là que ressortent les failles qui comptent vraiment pour vous », conclut-il.