Cybersécurité 2024 : les 11 prédictions et 7 défis

Quant aux coûts d’une attaque, ces derniers peuvent laisser des traces indélébiles. En moyenne, il est de 58 600 euros, mais peut facilement franchir la barre des 10 millions d’euros (étude Asterès pour le Club des responsables d’infrastructures, de technologies et de production informatique). Plus généralement, en 2022, les cyberattaques en France ont représenté un coût de plus de deux milliards d’euros. Dans le détail, le cabinet estime que les pertes de production s’élèvent à 252 millions d’euros, 888 millions d’euros pour les rançons et 887 millions d’euros concernent les coûts directs des cyberattaques réussies avec un impact sur la perte de production et sur la hausse des coûts de production.
Aux États-Unis, un rapport du FBI indique que le préjudice des attaques cyber s’envole à plus de dix milliards de dollars. Autre donnée impactant : la proportion d’entreprises ayant subi une violation de données de plus d’un million de dollars s’est considérablement accrue d’une année à l’autre, passant de 27  % à 36  %, souligne l’étude Global Digital Trust Insights de PwC.

Dès lors, les enjeux cybers à venir n’ont jamais été autant élevés. “La cybermenace continue d’évoluer à un rythme alarmant”, reconnaît Laurent Minne, senior cybersecurity engineer. Les premiers signaux ne laissent donc pas de répit aux experts de la cybersécurité ni aux organisations. “Les perspectives de la menace cyber seront influencées par les tensions géopolitiques existantes et l’exposition accrue de la France en raison de son implication par exemple dans l’organisation des Jeux olympiques de Paris. Des groupes de cybercriminels et d’autres acteurs malveillants pourraient perturber le bon déroulement des festivités, projette Guillaume Tanoh, expert en cybersécurité. Il est probable que nous fassions face à une augmentation des cyberattaques visant diverses institutions publiques et des acteurs privés.
Certaines attaques cybers sont susceptibles de connaître une croissance ou vont continuer à être prédominantes portées par l’essor de l’IA.

Le point commun des regards des experts et des études prospectives sur les menaces 2024 porte sur des attaques réalisées à partir de l’intelligence artificielle. L’IA s’étant installée très rapidement dans le quotidien de chacun. Ainsi, les cybercriminels vont faire de plus en plus appel à l’IA générative (une sous-catégorie de l’IA) pour perpétrer des attaques extrêmement sophistiquées, exploitant cette technologie à des fins malveillantes. “On pourrait parler d’une tendance « révolutionnaire » qui va transformer en profondeur le monde de la cybersécurité, démultiplier et rendre plus efficientes les attaques « traditionnelles ». L’IA offensive va cibler tant les entreprises que les particuliers”, prévient Yannick Chatelain, professeur associé au sein de Grenoble École de Management, chercheur associé à la Chaire Dos.

Dès lors, “à mesure que les modèles de langage sont intégrés dans un plus grand nombre de produits grand public, il faut s’attendre à ce que de nouvelles vulnérabilités complexes apparaissent à l’intersection de l’IA générative et des technologies traditionnelles, élargissant ainsi la surface d’attaque à sécuriser pour les professionnels de la cybersécurité”, confirme le dernier rapport du Kaspersky Security Bulletin.

Le conflit en Ukraine a exacerbé les tensions cybers en 2022 et en 2023. 2024 n’y mettra pas un frein. Laa désinformation par exemple pourrait s’intensifier, avec des attaques menées durant des campagnes électorales ou de grands événements. “Les campagnes de désinformation utilisant des techniques sophistiquées deviendront plus courantes, visant à influencer l’opinion publique et à déstabiliser les sociétés”, prévient Laurent Minne. “Une explosion quantitative de deepfakes et d’attaques exploitant l’IA sont à craindre, pour altérer de manière convaincante des contenus textuels, audio et vidéo, avec pour conséquence un potentiel chaos informationnel”, s’inquiète Yannick Chatelain.

“Les ransomwares, déjà un fléau majeur, deviendront encore plus destructeurs, souligne Laurent Minne. On peut s’attendre à ce que les attaquants ciblent non seulement le chiffrement des données, mais aussi leur exfiltration, augmentant ainsi les demandes de rançon.” Les attaques de rançongiciel devraient donc continuer à croître en 2024, mais plutôt cibler les organisations sensibles. “Les attaquants améliorent constamment leurs tactiques pour viser des organisations critiques et exiger des rançons considérables”, ajoute Clément Perello y Bestard. “Les infrastructures de santé sont les plus exposées à des attaques malveillantes, particulièrement du fait de la digitalisation croissante des données médicales sensibles. Ipso facto, la cible d’escroqueries sera également les citoyens : carte vitale, compte Ameli…”, ajoute Yannick Chatelain. En 2023 déjà, près de la moitié (47 %) de tous les répondants du secteur de la santé à l’enquête de PwC ont signalé une violation de données de plus d’un million de dollars.

Elles sont “susceptibles de devenir plus sophistiquées, ciblant des individus et des organisations avec des messages hautement personnalisés”, prévient Laurent Minne. Avec les Jeux olympiques de Paris 2024, le risque d’attaques aux formes diverses va s’accélérer comme l’indique Guillaume Tanoh, expert en cybersécurité. “Plusieurs types pourraient être déployés, notamment l’ingénierie sociale, les ransomwares et le phishing, liés à la vente de billets ou aux événements en lien avec les JO. Les acteurs malveillants auront accès à diverses ressources pour mener ces attaques.” Yannick Chatelain le confirme : “Les arnaques au président ont ainsi un bel avenir, avec la possibilité d’une part de produire des scénarii sophistiqués, de reproduire des voix, voire des visios.”

Les objets connectés sont encore parfois moins bien sécurisés et peuvent permettre à un intrus d’entrer à l’intérieur d’une machine pour mener une attaque. Avec l’essor de l’IoT, les vulnérabilités seront plus élevées et le risque fort. “Inutile d’être visionnaire pour prévoir qu’avec l’usage de l’IA ces attaques ne vont pas infléchir cette tendance dans les années qui viennent”, souligne Yannick Chatelain. Il prend pour exemple, une augmentation de 400 % des malwares sur les appareils IoT en 2023, avancée par Philippe Richard (ITS Social).

La protection des données personnelles et la conformité aux réglementations, telles que le RGPD en Europe, restent des préoccupations majeures pour les mois à venir. Au cours des deux dernières années, Kaspersky annonce que sur la dark web, chaque mois, 1 700 divulgations de données d’entreprise sont constatées. Dans ce contexte, la directive européenne NIS 2 qui entrera en vigueur en France au deuxième semestre 2024 vise à élargir ses objectifs et son périmètre d’application pour apporter davantage de protection aux milliers d’entreprises, des PME aux grands groupes du CAC 40. “Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber”, indique l’Anssi. “Investir dans des solutions de sécurité flexibles et adaptées pouvant s’ajuster rapidement aux évolutions des attaques génératives, en utilisant des technologies défensives basées sur l’IA est essentiel”, lance Yannick Chatelain.

En 2024, la sensibilisation à la cybersécurité et aux bonnes pratiques devrait une fois de plus se poursuivre, voire s’accélérer. Depuis 2019, le Cybermoi/s, événement national organisé en octobre, permet de faire prendre conscience des enjeux du numérique et d’adopter les bons réflexes. Il s’adresse à tous. “Les utilisateurs finaux, les employés et les décideurs doivent être mieux informés sur les menaces et les meilleures pratiques en matière de sécurité. Les programmes de formation et de sensibilisation sont essentiels pour prévenir les erreurs humaines et renforcer la posture de sécurité globale des organisations.

S’ajoute, une mobilisation sans faille des équipes concernées directement. “Les principaux enjeux de 2024 seront la coordination des équipes responsables de la sécurité informatique et physique. Je prévois que les équipes chargées de la défense des institutions seront en état de crise quasi-permanente, estime Guillaume Tanoh qui reste toutefois lucide : Je pense que les experts sont déjà très actifs et que la sensibilisation contribuera à limiter certaines actions des cybercriminels. Cependant, la menace subsistera, car les vulnérabilités présentes à différents niveaux seront probablement exploitées.”

Un autre défi de poids pour répondre aux menaces cyber, ce sont les moyens humains disponibles. En France, 15 000 offres sont disponibles, mais le nombre de candidats n’est pas encore au rendez-vous. Si bien que dans sa stratégie cyber annoncée en 2021, le gouvernement porte l’ambition de créer 35 000 postes supplémentaires d’ici à 2025 (ajoutés aux 37 000 emplois actuels). Les talents aux profils bac +2 à bac +5 sont activement recherchés.

Avec la fulgurante croissance de l’intelligence artificielle, de l’intensité des ransomwares et des attaques liées aux conflits géopolitiques soutenues, la cybersécurité ne devrait pas connaître de répit en 2024. Bien au contraire. Une sophistication est même plus qu’envisagée. “Les attaquants continueront d’exploiter les vulnérabilités de la technologie pour voler des données, perturber des services et compromettre la sécurité des organisations. Nous pouvons nous attendre à des attaques de plus en plus ciblées, notamment contre les infrastructures critiques, les entreprises de toutes tailles et même les individus”, annonce Clément Perello y Bestard.