Les cyberattaques sont bien conscients de ce qui se passe à cette période de l’année, c’est pourquoi ils profitent des circonstances saisonnières pour lancer des campagnes plus agressives.
L’été est un moment pour les vacances et une pause bien méritée de l’intensité du travail. C’est aussi le moment idéal pour être ciblé pour une cyberattaque.
Alors que l’activité cybercriminale s’étend tout au long de l’année, l’été a une qualité spéciale pour les cyberattaquants. Que ce soit parce que notre garde est plus que d’habitude, parce que le temps nous invite à nous détendre, diverses études montrent que l’été est l’un des pics de l’année en termes d’activité criminelle dans tous les domaines, et la cybersécurité ne fait pas exception – avec des campagnes plus agressives et aveugles en attente d’organisations dans toutes les industries.
Pourquoi les cyberattaques atteignent-elles un sommet en été?
Premièrement, le travail à distance s’intensifie. La plage, les montagnes. Trop d’attractions pour ne pas embrasser le télétravail.
«De nombreuses personnes se connectent à partir d’emplacements moins contrôlés, tels que les résidences secondaires, les hôtels ou les aéroports, en utilisant des réseaux Wi-Fi publics ou non sécurisés, qui sont beaucoup plus enclins aux attaques telles que l’usurpation des réseaux ou l’interception de données», explique Guillermo Fernández, ingénieur commercial pour le sud de l’Europe chez Watchguard Technologies. « De plus, ceux qui ne sont pas habitués à travailler à distance sur une base régulière peuvent ne pas être conscients ou avoir une connaissance adéquate de bonnes pratiques numériques. Ajouté à cela est le fait que, dans de nombreux cas, pour éviter de prendre leur ordinateur portable d’entreprise avec eux, certains employés recourent à des appareils personnels avec moins de mesures de sécurité – des systèmes obsolètes, sans antivirus ou encryption, par exemple – qui augmentent davantage leur exposition à risquer. »
Un autre point important est que, pendant l’été, les attaquants savent que beaucoup d’équipes informatiques et de cybersécurité fonctionnent avec des ressources plus limitées ou avec du personnel en vacances. « Ils en profitent pour lancer des campagnes de phishing et d’autres attaques ciblées, consciente que l’attention et la vigilance diminuent souvent », poursuit Fernández.
Enfin, nous ne devons pas oublier le risque physique, car la mobilité des appareils augmente également la probabilité de vol ou de perte, le danger qui en résulte des informations sensibles tombant entre de mauvaises mains.
«En fin de compte, l’été n’est pas seulement une période de repos; c’est aussi un moment où les entreprises doivent prendre des précautions extrêmes et garder leurs politiques de cybersécurité actives et adaptées au contexte», conseille-t-il.
Augmentation des risques de cybersécurité
Les risques de cybersécurité ont tendance à augmenter considérablement en été, avec des attaques augmentant en moyenne de 30% au cours des mois d’été de 2024 seulement, note Belén Ferreiro, responsable des comptes de cybersécurité à Altia.
«Ce n’est pas une coïncidence», explique-t-elle par e-mail. «De nombreuses entreprises opèrent avec moins de personnel; les équipes informatiques et de sécurité disposent de moins de ressources; et il y a une tendance à repousser les tâches importantes comme les mises à jour, les chèques d’accès et les sauvegardes jusqu’aux travaux. Tout cela laisse les portes ouvertes aux attaquants à exploiter.»
Ensuite, il y a toute l’activité typique de l’été: réservations en ligne, achats en ligne, etc. «Les cybercriminels le savent et l’utilisent à leur avantage, en lançant des campagnes de phishing qui imitent parfaitement les e-mails des compagnies aériennes, des appartements ou des plateformes de paiement», explique Ferreiro.
« En fin de compte, le risque est double: plus de tentatives d’attaque et moins d’yeux sur le belvédère pour les détecter et réagir rapidement. Si, en plus de cela, il n’y a pas de protocole clair pour qui agira si quelque chose se produit ou si les sauvegardes ne sont pas correctement testées, un incident peut devenir critique sans que personne ne le détecte dans le temps », explique Ferreiro.
C’est pourquoi elle ne veut pas que ce message tombe dans l’oreille d’un sourd: la cybersécurité ne se déroule pas en vacances. «Au contraire, c’est juste le bon moment pour tout revoir, renforcer les contrôles et rappeler au personnel que, même si nous déconnectons, nous ne pouvons pas baisser la garde», dit-elle.
Toutes les menaces ne montent pas en été
Selon Josep Albors, directeur de la recherche et de la sensibilisation à l’ESET en Espagne, toutes les menaces ne deviennent pas plus importantes à cette période de l’année.
«Par exemple, si nous passons en revue nos données de télémétrie, nous verrons que les détections de cybermenaces ciblant le secteur des entreprises diminuent en été, ce qui est normal en raison de moins d’activité de travail pendant cette période», dit-il. «D’un autre côté, pour certaines menaces ciblant les utilisateurs individuels, nous voyons des augmentations pendant la période estivale, en raison de l’utilisation accrue des appareils à des fins de loisirs, ce qui signifie que de nombreux utilisateurs deviennent imprudents et deviennent une cible attrayante pour les cybercriminels.»
Quoi qu’il en soit, Jaime Balañá, directrice technique de NetApp pour l’Amérique latine, a conseillé aux organisations d’être à la recherche d’une menace en particulier: le ransomware.
«Le ransomware reste la principale menace, non seulement en raison de sa capacité destructrice, mais aussi en raison de la vitesse à laquelle il peut compromettre une infrastructure entière, car elle est devenue plus rapide, plus ciblée et plus silencieuse», dit-il. « Ajouté à cela est la montée en puissance du phishing ciblé, provoqué par des outils d’IA génératifs qui rendent très difficile la différenciation de la communication légitime de la communication malveillante. Nous devons également considérer le risque interne, qui augmente lorsque les équipes sont surchargées ou que les protocoles de sécurité ne sont pas clairs. »
Carlos Rubio, directeur de l’architecture et des solutions de cybersécurité chez GFT, ajoute des compromis sur les informations d’identification à la liste des attaques les plus probables en été.
«Les appareils personnels ou les réseaux Wi-Fi publics sont souvent utilisés sans mesures adéquates, facilitant le vol d’identification ou l’interception des communications; et l’ombre et l’utilisation d’applications non corporatives, en raison de moins de comportements de surveillance et de risque, tels que le travail à partir d’applications non approuvées ou le partage de documents par des moyens inséructifs, des moyens d’insecure, comme le travail à partir d’applications non approuvées ou le partage de documents par des moyens inséructifs, une augmentation, comme le travail à partir d’applications non approuvées ou le partage de documents à travers des moyens d’insecture,
Quant à l’utilisation d’appareils personnels pour accéder aux informations des entreprises, Guillermo Fernández dit: «Ces appareils ont souvent moins de protection contre les menaces et, dans certains cas, manquent même de solutions de sécurité avancées.»
Il ajoute: « En été, les tentatives de tromperie augmentent parce que les attaquants savent que les gens sont plus détendus, déconnectés ou même en dehors de leurs routines habituelles, ce qui leur permet de tomber plus facilement pour des e-mails frauduleux, des messages malveillants ou des liens compromis. »
Ne laissez jamais tomber ta garde
« Il y a un faux sentiment de pause en été, alors qu’en réalité, les systèmes continuent de fonctionner, les menaces persistent et que les attaquants sont actifs. De nombreuses entreprises abaissent leur niveau de surveillance juste au moment où elles devraient le renforcer », dit Rubio, ajoutant que l’effet de confiance de laisser des opérations sur le pilote automatique pendant quelques semaines crée une fenêtre d’opportunité que les attaquants sont conscients et exploités. «Vous devez en être conscient pour l’atténuer.»
«La clé est l’anticipation et la préparation», explique Juan Francisco Cornago, directeur de la cybersécurité chez Babel, par e-mail. Il recommande «d’examiner les plans de continuité, de renforcer la surveillance avec des outils automatisés, de protéger l’accès à distance avec une authentification forte, d’appliquer les changements de mot de passe, de garder les équipes de réponse opérationnelles et, surtout, de sensibiliser interne aux risques inhérents à la période d’été.»
Et à son avis, « une campagne de sensibilisation bien conçue avant les vacances peut faire une réelle différence. »
Ángel Serrano, responsable de Solutions Consulting chez Palo Alto Networks, est d’accord avec les conseils pour souligner les avis pour le moment.
«Tout d’abord, c’est une bonne idée de revoir comment, d’où et de la protection que les employés se connectent pendant l’été. Travailler à partir de réseaux Wi-Fi ouverts sans VPN d’entreprise est une grave erreur, pas toujours en raison de l’ignorance, mais plutôt de la commodité», dit-il. «La sécurisation du trafic, la vérification de l’appareil, l’application de l’authentification multi-facteurs et la limitation des privilèges d’accès sont des mesures de base, mais elles ne sont souvent pas appliquées avec la même rigueur en dehors du bureau. Et lorsque le périmètre disparaît, le modèle de confiance zéro devient plus important que jamais.»
Il ajoute: «À cela, nous devons ajouter la protection physique des appareils. Le chiffrement par défaut, la gestion à distance, le verrouillage automatique et les politiques claires concernant l’utilisation et le stockage des données en dehors du bureau sont des mesures critiques.»
Enfin, Serrano met l’accent sur la sensibilisation. «Les exercices de phishing, les rappels opérationnels et les séances de formation aident tous. Et si les équipes de sécurité sont en sous-effectif, l’automatisation basée sur l’IA peut détecter les anomalies comportementales et contenir des menaces sans intervention humaine immédiate», dit-il.
Plus de formation nécessaire
Babel’s Cornago estime que la formation en cybersécurité reste l’une des faiblesses les plus exploitées des attaquants. «La technologie à elle seule ne peut empêcher les incidents si le facteur humain échoue», souligne-t-il. « C’est pourquoi il est si important de mettre en œuvre une culture de cybersécurité interfonctionnelle, où tous les employés – pas seulement les techniciens – savent agir, quels signes rechercher et ce qu’ils ne devraient pas faire. »
Malheureusement, il ajoute: «Nous savons déjà tout cela, et nous continuons à échouer.»
«Le problème n’est pas seulement la connaissance, mais notre résilience cognitive, et c’est précisément là que les entreprises devraient concentrer leurs efforts. Ne continuons pas à faire les mêmes erreurs encore et encore», dit-il.
Une erreur que Cornago voit est une tendance en été à baisser la garde. «Paradoxalement, juste au moment où nous devons être les plus protégés, de nombreuses organisations réduisent leurs capacités de surveillance et de réponse», dit-il.
«Le renforcement de la surveillance, le maintien des quarts de garde préparés et la formation des employés à de bonnes pratiques numériques sont des mesures essentielles», dit-il. «La cybersécurité n’est pas saisonnière ou exclusive au département technique: c’est une responsabilité partagée qui doit être maintenue 365 jours par an sur 100% de la main-d’œuvre et de sa chaîne d’approvisionnement.»
Balañá de NetApp préconise également des régimes de formation améliorés. «Des programmes continus sont nécessaires, adaptés aux différents profils de l’organisation, qui expliquent non seulement quoi faire, mais aussi pourquoi et ce qui se passe si nous ne le faisons pas correctement», dit-il.
Rubio de GFT est d’accord.
«L’été, en raison de sa nature unique, est un moment idéal pour renforcer cet apprentissage, car les changements de routine et moins de supervision peuvent tester les habitudes de sécurité acquises», dit-il. «S’engager dans une formation pratique, contextualisée et régulière peut faire une différence et renforcer considérablement la culture de la cybersécurité de l’organisation.»
