Cybermenace 2024 : ce que les dirigeants doivent retenir pour protéger leur entreprise
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié son Panorama de la Cybermenace 2024. Cette étude annuelle met en lumière les principales tendances en matière de cyberattaques et fournit des recommandations essentielles pour renforcer la sécurité des systèmes d'information.
En tant que dirigeant d’entreprise dans l'industrie ou le bâtiment, vous êtes particulièrement concerné : l'évolution des menaces, la multiplication des vulnérabilités et l’exposition grandissante des équipements industriels rendent la cybersécurité indispensable à la continuité de votre activité.
Voici, de manière claire et synthétique, les enseignements clés de ce rapport.
1. Une cybermenace toujours en forte augmentation
+15 % d'événements de sécurité traités en 2024 : l'ANSSI a pris en charge 4 386 événements (incidents ou signalements), soit une nette progression par rapport à l’année précédente.
Les causes principales :
● L'organisation des Jeux Olympiques de Paris qui a concentré l'attention médiatique et les cyberattaques.
● Une augmentation générale du nombre d'attaques opportunistes, touchant tous les secteurs d'activité.
Fait marquant : les cybercriminels ne ciblent plus seulement les grandes entreprises. Les PME et ETI sont de plus en plus visées, car elles sont souvent moins protégées.
2. Les équipements en bordure de réseau : portes d’entrée privilégiées
Plus de la moitié des incidents graves traités par l'ANSSI en 2024 ont pour origine des vulnérabilités sur des équipements de sécurité exposés sur Internet :
● Pare-feux,
● Passerelles VPN,
● Outils de télétravail,
● Systèmes de supervision.
Ces équipements, souvent installés pour sécuriser l'entreprise, deviennent paradoxalement des points faibles s'ils ne sont pas correctement mis à jour.
Exemples cités :
● Exploitation massive de vulnérabilités sur des équipements Palo Alto, Fortinet ou Ivanti.
● Campagnes de scan automatique visant à identifier les matériels vulnérables non corrigés.
Ce qu’il faut faire :
● Appliquer sans attendre les mises à jour de sécurité éditeur.
● Restreindre l’exposition Internet de ces équipements autant que possible.
● Mettre en place une supervision efficace.
3. La chaîne d’approvisionnement informatique : un nouveau talon d’Achille
Les attaques ne visent pas toujours directement votre entreprise. Elles passent souvent par :
● Vos prestataires informatiques,
● Vos sous-traitants industriels,
● Ou les éditeurs de logiciels que vous utilisez.
Illustrations concrètes :
● Un prestataire informatique a été compromis, permettant aux attaquants d’atteindre une trentaine de clients en cascade.
● Fuites de données sensibles suite à des incidents affectant des fournisseurs de services essentiels.
Ce qu’il faut faire :
● Évaluer la maturité en cybersécurité de vos prestataires.
● Formaliser clairement les responsabilités dans les contrats (sécurité, notification d’incidents).
● Limiter les accès et interconnexions aux seuls besoins réels.
4. Une forte exploitation des vulnérabilités critiques
La rapidité d’exploitation des failles techniques est frappante :
● Certaines vulnérabilités sont exploitées dès quelques jours après la publication du correctif.
● Des cas de compromission ont été observés plusieurs mois après que les correctifs étaient disponibles, faute de mise à jour.
Principales failles exploitées en 2024 :
● Pare-feux Ivanti (CVE-2024-21887),
● Équipements Fortinet,
● Problèmes d'Active Directory (mauvaise gestion des privilèges).
Ce qu’il faut faire :
● Prioriser la correction des vulnérabilités critiques.
● Réaliser des audits de sécurité réguliers, notamment sur les équipements exposés.
5. Le retour des attaques sur les infrastructures industrielles
Le secteur industriel est particulièrement ciblé pour des opérations :
● De sabotage : attaques sur de petites installations (parcs éoliens, stations d’eau) exposées sur Internet sans protection suffisante.
● De déstabilisation : notamment par des attaques par DDoS (déni de service).
Même si ces actions sont souvent techniquement simples, leur impact opérationnel et médiatique peut être important.
Ce qu’il faut faire :
● Sécuriser l'accès aux interfaces de gestion des installations.
● Sensibiliser les installateurs et prestataires industriels aux enjeux de cybersécurité.
6. Des attaques de plus en plus discrètes et difficiles à détecter
Les attaquants améliorent leurs méthodes :
● Utilisation de réseaux d’anonymisation complexes (machines compromises agissant comme relais).
● Outils open-source pour éviter la détection.
● Présence silencieuse pendant plusieurs mois sur les systèmes avant d’agir.
Exemple : compromission de réseaux de télécommunications ciblant spécifiquement des systèmes critiques difficiles à surveiller.
7. Des motivations variées : espionnage, sabotage, extorsion
L'ANSSI classe les attaques selon trois grands objectifs :
● Espionnage : captation de données stratégiques (notamment dans les télécommunications et l'industrie).
● Sabotage et déstabilisation : perturbations de services publics, d’événements (JOP 2024), d’infrastructures critiques.
● Extorsion : attaques par rançongiciels, fuites de données pour obtenir des rançons.
Les entreprises industrielles françaises sont des cibles privilégiées car elles concentrent des savoir-faire technologiques stratégiques.
8. Ce que recommande l’ANSSI
Voici les actions concrètes préconisées :
Sécuriser son système d'information
● Cloisonner le réseau interne (segmentation réseau).
● Appliquer le triptyque : sécuriser - superviser - réagir.
● Maintenir les systèmes à jour (postes, serveurs, équipements de sécurité).
Protéger les accès utilisateurs
● Mettre en place une authentification forte (clé physique ou certificat numérique plutôt que simple mot de passe).
● Sécuriser les annuaires Active Directory.
Renforcer la résilience
● Mettre en place des sauvegardes hors-ligne testées régulièrement.
● Élaborer un plan de continuité (PCA/PRA) en cas d’attaque.
Anticiper les risques prestataires
● Vérifier la cybersécurité des prestataires critiques.
● Prévoir des procédures d’urgence en cas de compromission de l'un d’entre eux.
En conclusion
La menace cyber en 2024 n’est plus une hypothèse : elle est concrète, multiple et sophistiquée.
Pour les dirigeants industriels et du BTP, la cybersécurité devient une priorité stratégique, au même titre que la santé et la sécurité des équipes ou la qualité des productions.
Ignorer cette réalité expose l’entreprise à des risques majeurs : interruption d’activité, atteinte à la réputation, pertes financières, vols de données critiques.
Heureusement, il est possible d'agir :
● Par la mise en œuvre de bonnes pratiques techniques (mises à jour régulières, cloisonnement réseau, authentification forte) ;
● Par une préparation organisationnelle (plans de continuité, procédures de gestion de crise) ;
● Mais aussi en envisageant un transfert partiel du risque à travers une bonne couverture assurantielle.
L’assurance cyber devient un outil complémentaire indispensable : elle permet de protéger l’entreprise contre les conséquences financières d’une attaque (coûts de remise en état, frais juridiques, atteinte à l’image, pertes d’exploitation…).
Cependant, il est essentiel de :
● S’assurer que le contrat est bien aligné avec la réalité des risques de l’entreprise (secteur d’activité, dépendances numériques, prestataires) ;
● Mettre à jour régulièrement le contrat pour prendre en compte les évolutions technologiques (télétravail, nouvelles plateformes, etc.) ;
● Respecter les mesures de prévention exigées par l’assureur pour garantir la validité de la couverture.
Sécuriser son système d'information et adapter sa couverture d'assurance ne sont plus des options : ce sont deux leviers complémentaires pour protéger durablement l’activité de votre entreprise face à une menace cyber devenue systémique.