Le point de vue de Laurent Galvani, Expert Cybersécurité GRC & Avant-Vente chez Fidens by
TVH Consulting.
Quand les entreprises
baissent la garde, les attaquants passent à l'offensive.
Chaque année, le même
schéma se répète. Les bureaux se vident, les équipes tournent en effectifs
réduits, les « out of office » s'empilent dans les boîtes mail. Pour les
collaborateurs, c'est le temps du repos bien mérité. Pour les cybercriminels,
c'est le coup d'envoi de la haute saison.
Ce n'est pas un hasard
si les cyberattaques les plus dévastatrices surviennent régulièrement pendant
les périodes estivales. Les pirates informatiques ne prennent pas de vacances.
Ils les attendent. Et ce constat, que je fais mission après mission depuis plus
dix ans, repose sur une réalité simple : l'été réunit toutes les conditions
d'un coup de chaud pour la sécurité des systèmes d'information.
Un contexte d'autant
plus préoccupant que, selon le World Economic Forum, chiffre repris par la
DGSI, près de 95 % des incidents de cybersécurité impliquent une erreur
humaine. Un simple clic sur un lien frauduleux, une procédure de validation
contournée ou une baisse momentanée de vigilance peuvent suffire à ouvrir la
porte à une attaque. Cette réalité fait de l'été une période particulièrement
sensible pour les organisations.
Analyse en six
axes
1 - La surveillance au
point mort : le moment idéal pour frapper
Les attaquants savent
qu'une intrusion est d'autant plus efficace qu'elle reste invisible le plus
longtemps possible. C'est pourquoi ils privilégient traditionnellement les
nuits, les week-ends… et les vacances d'été.
Pendant plusieurs
semaines, les équipes IT et cybersécurité fonctionnent avec des effectifs
réduits. Les délais de détection s'allongent. Les temps de réaction également.
Une compromission qui serait identifiée en quelques heures en période normale
peut passer inaperçue pendant plusieurs jours, laissant aux attaquants le temps
de se déplacer latéralement dans le système d'information, d'exfiltrer des
données sensibles ou de préparer le déploiement d'un ransomware.
Dans ce contexte,
chaque heure gagnée par les cybercriminels augmente considérablement l'impact
potentiel de l'attaque.
2 - Le facteur humain :
quand la vigilance fond au soleil
L'été modifie
profondément les comportements des collaborateurs, et les cybercriminels en
tirent un profit redoutable.
La baisse d'attention
générale constitue le premier levier exploité. Un collaborateur en mode «
pré-vacances » ou fraîchement revenu de congés est naturellement moins vigilant
face à un e-mail suspect. La pression du quotidien, combinée à l'envie de boucler
les dossiers avant le départ, crée un terrain fertile pour le clic malheureux.
La fraude au président
connaît elle aussi un pic estival. Le scénario est classique mais
redoutablement efficace : un message prétendument envoyé par le PDG, en
vacances et donc injoignable, demande un virement urgent et confidentiel. Le
collaborateur sollicité, souvent un remplaçant peu familier des processus
internes, n'ose pas questionner la demande. Il exécute. Les conséquences
peuvent se chiffrer en centaines de milliers d'euros.
Plus largement, les
remplacements temporaires créent des failles organisationnelles majeures. La
personne qui assure l'intérim ne connaît pas toujours les procédures exactes de
validation : un changement de RIB fournisseur, une demande de modification de
coordonnées bancaires, une autorisation d'accès inhabituelle. Autant de
situations où l'absence du titulaire du poste ouvre une brèche que les
attaquants savent exploiter avec précision.
3 - L'été, terrain de
chasse du phishing saisonnier
Les cybercriminels sont
aussi d'excellents marketeurs. Ils savent adapter leurs campagnes de phishing
au calendrier et aux centres d'intérêt du moment.
L'été multiplie les
prétextes crédibles :
·
Événements sportifs et musicaux : faux concours,
billets à prix cassés, offres de dernière minute pour des festivals ou des
compétitions.
·
Offres promotionnelles de vacances : réservations
d'hôtels, locations saisonnières, billets d'avion à tarif exceptionnel.
·
Sujets d'actualité saisonniers : alertes
canicule avec de faux liens institutionnels, primes carburant fictives,
arnaques aux remboursements divers.
Ces campagnes
exploitent un ressort psychologique puissant : l'envie. Un collaborateur qui
reçoit sur sa messagerie professionnelle une offre alléchante pour un séjour ou
un événement est tenté de cliquer, même s'il sait qu'il devrait se méfier. Et
un seul clic suffit pour compromettre un poste, puis potentiellement l'ensemble
du réseau.
4 - Côté IT : une
surface d'attaque qui explose
Au-delà du facteur
humain, l'été pose des défis techniques considérables pour les équipes de
sécurité informatique.
Les mises à jour et
correctifs prennent du retard. Avec des équipes réduites, les opérations de
maintenance préventive sont souvent reportées. Les failles connues restent non
corrigées plus longtemps, offrant aux attaquants des portes d'entrée documentées
et facilement exploitables.
La surface d'exposition
s'élargit dangereusement. Le télétravail depuis le lieu de vacances est devenu
une pratique courante. Mais se connecter au SI de l'entreprise depuis un réseau
Wi-Fi d'hôtel, de camping ou de café n'offre évidemment pas les mêmes garanties
de sécurité que le réseau de l'entreprise. Les connexions non sécurisées, les
réseaux Wi-Fi publics et l'utilisation d'équipements personnels (BYOD)
multiplient les points d'entrée potentiels pour les attaquants.
Cette dispersion
géographique et technique des accès rend la supervision du SI considérablement
plus complexe, précisément au moment où les ressources pour assurer cette
supervision sont au plus bas.
5 - Anticiper plutôt
que subir : les clés d'un été cyber-résilient
Face à ces risques,
l'attentisme n'est pas une option.
Quelques mesures
permettent de réduire significativement les risques :
·
Préparer un plan de continuité estival intégrant des
procédures de réponse aux incidents adaptées aux effectifs réduits, avec des
astreintes clairement définies.
·
Renforcer la sensibilisation avant les départs avec des
campagnes ciblées sur les risques saisonniers : phishing estival, fraude au
président, bonnes pratiques de connexion à distance.
·
Durcir les procédures de validation pour les
opérations sensibles (virements, modifications de coordonnées bancaires,
attributions d'accès) en imposant une double validation, y compris en période
de remplacement.
·
Anticiper les mises à jour critiques en planifiant les
correctifs de sécurité avant la période creuse.
·
Encadrer strictement les accès distants via des VPN
obligatoires, une authentification multifacteur renforcée et une politique
claire sur l'utilisation des équipements personnels.
La saisonnalité des
cyberattaques n'est pas une fatalité. C'est un risque parfaitement identifié,
documenté et, surtout, maîtrisable. Baisse de vigilance humaine, surface
d'attaque élargie, équipes IT en sous-effectif, phishing opportuniste : chacun
de ces facteurs est connu. Leur combinaison estivale est prévisible. Il n'y a
donc aucune excuse à ne pas s'y préparer.
6 - La résilience ne
prend pas de vacances
Les référentiels qu'il
s'agisse de l'ISO 27001 ou du guide d'hygiène de l'ANSSI, intègrent tous cette
dimension de continuité et de résilience opérationnelle, y compris en période
dégradée. Mais encore faut-il que ces cadres soient réellement mis en œuvre,
testés et adaptés à la réalité de chaque organisation. Car la meilleure politique
de sécurité du monde ne vaut rien si elle reste dans un tiroir pendant que les
équipes sont sur la plage.
Les cybercriminels, eux, travaillent tout l'été. La véritable question n'est donc pas de savoir si les organisations seront ciblées, mais si elles auront pris les dispositions nécessaires pour être prêtes lorsque les premières attaques surviendront.


