L’interCERT a analysé une année d’incidents cyber en France

L’interCERT, association française fédérant une centaine de centres de réponse à incidents, a publié, le 29 novembre 2024, son premier rapport, consacré à l’incidentologie en 2024. Pour cela, les auteurs ont agrégé et analysé les données sur les cyberattaques transmises en 2023 par les membres de l’association.

Le premier enseignement est que 73 % des offensives identifiées s’avèrent opportunistes, et non ciblées. Le plus souvent, les cybercriminels choisissent donc une victime essentiellement parce qu’ils ont identifié des failles exploitables dans ses SI. Le phénomène est encore plus net pour les rançongiciels, où seules 10 % des victimes s’estiment spécifiquement visées.

Sans occulter l’importance stratégique du cyber-espionnage visant des infrastructures critiques, l’interCERT indique également que « la majorité des attaques sont conduites à des fins lucratives : l’appât du gain reste la principale motivation des attaquants ».

Le délai moyen de détection d’un incident est de 27 jours, et d’autant plus long que l’organisation est de grande taille. La moitié des attaques gérées en 2023 par des CERT membres de l’association ont par ailleurs duré moins de 8 jours. Mais, dans 14 % des cas, les effets délétères se sont prolongés au-delà d’un mois, le plus souvent quand les organisations ont tardé à signaler l’intrusion.

L’interCERT recommande donc « de pousser les entreprises à dépasser cet état de déni, qui empêche les équipes d’intervenir à un stade encore gérable de la crise, et ainsi les faire accepter au plus tôt la présence d’un incident afin de pouvoir agir au plus vite dans le sens d’une résolution ».