« Cyberattaque » : différence entre les versions

Une cyberattaque est une action malveillante menée contre des systèmes informatiques, des réseaux, des infrastructures ou des données numériques, dans le but de les compromettre, de les perturber, de les détruire ou d'en exfiltrer des informations. Selon l'ANSSI, le nombre d'incidents traités en France a progressé de 37 % entre 2020 et 2021. À l'échelle mondiale, le coût des cyberattaques est estimé à 8 000 milliards de dollars en 2023 selon Cybersecurity Ventures, avec une projection atteignant 10 500 milliards de dollars annuels d'ici 2025.

Une cyberattaque se distingue d'une simple panne ou d'une erreur humaine par l'intentionnalité de l'acte. Elle peut cibler des particuliers, des entreprises, des administrations publiques ou des infrastructures critiques (énergie, eau, transports, hôpitaux). Le terme recouvre un spectre large d'actions, depuis l'intrusion furtive visant le vol de données jusqu'aux opérations de sabotage à grande échelle.

Le droit pénal français réprime les cyberattaques principalement à travers les articles 323-1 à 323-7 du Code pénal, qui sanctionnent l'accès frauduleux à un système de traitement automatisé de données (STAD). Les peines encourues vont de deux ans d'emprisonnement et 60 000 euros d'amende pour l'accès simple non autorisé, jusqu'à dix ans d'emprisonnement et 300 000 euros d'amende lorsque l'attaque vise des infrastructures vitales.

Un Logiciel malveillant (malware) est un programme conçu pour infiltrer un système à l'insu de son utilisateur. Les principales catégories incluent les virus (qui se greffent à des fichiers légitimes), les vers (qui se propagent sans intervention humaine), les chevaux de Troie (qui se dissimulent dans des logiciels apparemment inoffensifs) et les logiciels espions (spyware). En 2023, 450 000 nouveaux programmes malveillants étaient détectés chaque jour dans le monde selon AV-TEST.

Le Rançongiciel (ransomware) est une sous-catégorie de logiciel malveillant qui chiffre les données de la victime et réclame une rançon en contrepartie de la clé de déchiffrement. En 2021, l'attaque contre Colonial Pipeline aux États-Unis a paralysé la distribution de carburant sur la côte Est américaine ; la société a versé 4,4 millions de dollars de rançon en Bitcoin. En France, l'hôpital de Dax (février 2021) et le centre hospitalier de Corbeil-Essonnes (août 2022) ont subi des attaques par rançongiciel entraînant des perturbations majeures dans la prise en charge des patients. Le coût moyen d'un incident par rançongiciel atteignait 1,85 million de dollars en 2021 selon le Sophos State of Ransomware Report.

L'Hameçonnage (phishing) consiste à usurper l'identité d'une entité de confiance — banque, administration, fournisseur — pour inciter la victime à divulguer des identifiants, des données bancaires ou à télécharger un fichier malveillant. Le spear phishing est une variante ciblée qui personnalise le message à partir d'informations collectées sur la cible. L'Ingénierie sociale (informatique) désigne plus largement toutes les techniques de manipulation psychologique exploitant les biais cognitifs humains plutôt que les failles techniques.

Une attaque par Déni de service distribué (DDoS, Distributed Denial of Service) vise à rendre un service indisponible en saturant ses ressources grâce à un trafic massif généré simultanément par des milliers de machines compromises formant un Botnet. En octobre 2016, l'attaque DDoS contre le fournisseur DNS Dyn a rendu inaccessibles Twitter, Netflix, Reddit et Spotify pendant plusieurs heures. En 2023, Cloudflare a enregistré des attaques atteignant 71 millions de requêtes par seconde, un record historique.

L'attaque de l'homme du milieu (Man-in-the-Middle, MitM) consiste à s'interposer dans une communication entre deux parties pour intercepter, modifier ou injecter des données. Elle est facilitée par l'utilisation de réseaux Wi-Fi publics non sécurisés ou par la compromission d'équipements réseau. L'utilisation d'un VPN (réseau privé virtuel) ou du protocole HTTPS avec vérification du certificat constitue une protection efficace contre ce type d'attaque.

L'exploitation de vulnérabilités informatiques tire parti de failles présentes dans des logiciels, systèmes d'exploitation ou protocoles réseau. Les zero-day désignent des failles inconnues du fabricant pour lesquelles aucun correctif n'existe au moment de leur exploitation. La faille Log4Shell (CVE-2021-44228), découverte en décembre 2021 dans la bibliothèque Java Log4j, a touché des millions de serveurs dans le monde et a été activement exploitée dans les 72 heures suivant sa publication. L'ANSSI a émis un avis d'urgence et recommandé une mise à jour immédiate.

Les attaques sur la chaîne d'approvisionnement (supply chain attacks) compromettent un fournisseur de logiciels ou de services pour atteindre ses clients en aval. L'opération SolarWinds (2020) illustre cette menace : des acteurs associés au renseignement russe ont inséré une porte dérobée dans les mises à jour du logiciel Orion de SolarWinds, infectant ainsi environ 18 000 organisations, dont plusieurs agences gouvernementales américaines et le Trésor américain.

Les auteurs de cyberattaques se répartissent en plusieurs catégories selon leurs objectifs :

• Cybercriminels : motivés par le gain financier (vol de données bancaires, rançongiciels, revente de données personnelles sur le dark web).
• États-nations : conduisent des opérations d'espionnage, de sabotage ou d'influence. Les groupes APT (Advanced Persistent Threat) comme APT28 (Russie), APT41 (Chine) ou Lazarus Group (Corée du Nord) sont documentés par plusieurs agences de renseignement occidentales.
• Hacktivistes : défendent des causes politiques ou idéologiques (Anonymous, LulzSec).
• Menaces internes : employés ou prestataires malveillants ou négligents. Selon le rapport Verizon DBIR 2023, 19 % des violations de données impliquent un acteur interne.
• Script kiddies : individus peu qualifiés utilisant des outils préfabriqués disponibles sur des forums clandestins.

Selon Cybersecurity Ventures, les dommages causés par la cybercriminalité mondiale ont atteint 8 000 milliards de dollars en 2023 et pourraient dépasser 10 500 milliards de dollars d'ici 2025. Le rapport Verizon Data Breach Investigations Report (DBIR) 2023 recense 16 312 incidents de sécurité, dont 5 199 violations de données confirmées.

En France, l'ANSSI a traité 3 018 événements cyber en 2022, dont 831 intrusions avérées. Le coût moyen d'une violation de données est estimé à 4,45 millions de dollars selon l'IBM Security Cost of a Data Breach Report 2023. Les PME sont particulièrement vulnérables : selon Cybermalveillance.gouv.fr, elles représentaient 52 % des victimes de rançongiciels en France en 2021.

Statistiques mondiales sur les cyberattaques (2022-2023)

Indicateur	Valeur	Source
Coût mondial de la cybercriminalité (2023)	8 000 milliards USD	Cybersecurity Ventures
Nouveaux malwares détectés par jour	450 000	AV-TEST
Violations de données confirmées (DBIR 2023)	5 199	Verizon
Coût moyen d'une violation de données	4,45 millions USD	IBM Security 2023
Délai moyen de détection d'une intrusion	204 jours	IBM Security 2023

Les vecteurs par lesquels les cyberattaques s'introduisent dans un système incluent :

• Le courrier électronique : premier vecteur d'infection dans 91 % des cyberattaques selon Proofpoint (2022).
• Les interfaces d'administration exposées sur Internet (RDP, SSH sans restriction d'accès).
• Les logiciels non mis à jour comportant des vulnérabilités connues.
• Les supports amovibles (clés USB infectées ou abandonnées délibérément à proximité d'une cible).
• Les applications web présentant des failles répertoriées par l'OWASP : injection SQL, scripts intersites (XSS), falsification de requêtes côté serveur (SSRF).
• Les accès distants via VPN mal configurés ou dont les identifiants ont été compromis.
• Le SIM swapping, qui détourne un numéro de téléphone mobile pour intercepter les codes d'authentification par SMS et contourner certaines formes d'authentification à deux facteurs.

La Directive NIS (Network and Information Security), adoptée en juillet 2016, a instauré les premières obligations de cybersécurité pour les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) au sein de l'Union européenne. La Directive NIS2, entrée en vigueur en janvier 2023 et dont la transposition nationale était exigée avant octobre 2024, élargit le périmètre à environ 160 000 entités en Europe, introduit de nouvelles obligations de gestion des risques et renforce les sanctions (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel).

Le Cyber Resilience Act, règlement européen adopté en 2024, impose des exigences de cybersécurité tout au long du cycle de vie des produits contenant des composants numériques, depuis leur conception jusqu'à leur retrait du marché. La protection des données personnelles encadrée par le RGPD impose aux organisations de notifier l'autorité de contrôle compétente dans les 72 heures suivant la découverte d'une violation de données.

L'ANSSI est l'autorité nationale compétente en matière de cybersécurité. Elle publie des guides de bonnes pratiques, qualifie des prestataires de services de confiance (PRIS, PDIS) et intervient en réponse aux incidents majeurs affectant les opérateurs d'importance vitale (OIV). La loi de programmation militaire 2024-2030 étend des obligations de cybersécurité aux opérateurs de services essentiels dans le cadre de la transposition de la Directive NIS2.

La défense contre les cyberattaques repose sur plusieurs niveaux techniques et organisationnels complémentaires.

• Déploiement d'un Pare-feu et d'une DMZ (informatique) pour cloisonner les réseaux internes des zones exposées à Internet.
• Mise en œuvre de l'Authentification multifacteur (MFA) sur tous les accès sensibles, idéalement avec une Clé de sécurité matérielle conforme au standard FIDO2.
• Adoption du Modèle Zero Trust, qui impose une vérification systématique de chaque requête quelle que soit sa provenance réseau.
• Supervision centralisée via un SIEM (informatique) pour corréler les événements de sécurité et détecter les anomalies comportementales.
• Politique de sauvegardes régulières avec copies hors ligne respectant le principe de l'Air gap (informatique) et tests de restauration périodiques.
• Sécurisation des environnements d'hébergement externalisés selon les principes de la Sécurité du cloud.

• Réalisation d'audits de cybersécurité réguliers et de tests d'intrusion (pentests) pour identifier les failles avant les attaquants.
• Exercices menés par une équipe Red team pour simuler des scénarios d'attaques réalistes contre les défenses en place.
• Mise en place d'un Plan de continuité d'activité (PCA) et d'un Plan de reprise d'activité informatique (PRA) pour maintenir ou restaurer les opérations après incident.
• Désignation d'un Responsable de la sécurité des systèmes d'information (RSSI) et déploiement d'un cadre normalisé tel que ISO/IEC 27001 ou le NIST Cybersecurity Framework.
• Souscription d'une Cyberassurance pour couvrir les pertes financières directes et indirectes liées aux incidents.
• Sensibilisation régulière des collaborateurs aux risques d'hameçonnage et aux bonnes pratiques d'hygiène numérique.

La Cybersécurité des PME pose des défis spécifiques liés aux ressources financières et humaines limitées de ces structures. Le dispositif Cybermalveillance.gouv.fr, opéré par le GIP ACYMA, propose un parcours d'assistance aux victimes et un annuaire de prestataires labellisés ExpertCyber.

Certains secteurs concentrent une part disproportionnée des cyberattaques en raison de la valeur des données qu'ils détiennent ou de la criticité de leurs services :

• Santé : le FBI a recensé une augmentation de 380 % des attaques contre les établissements de santé entre 2020 et 2021. Les dossiers médicaux se revendent entre 250 et 1 000 dollars sur le dark web, contre 1 à 2 dollars pour un numéro de carte bancaire.
• Finance : selon Boston Consulting Group (2019), le secteur financier est 300 fois plus ciblé que les autres industries.
• Énergie et infrastructures critiques : l'attaque NotPetya (juin 2017) a causé 10 milliards de dollars de dommages au niveau mondial, affectant notamment le transporteur maritime Maersk (850 millions de dollars de pertes) et le fabricant pharmaceutique Merck (870 millions de dollars).
• Collectivités territoriales : 9 % des victimes de rançongiciels en France en 2021 sont des collectivités selon Cybermalveillance.gouv.fr.
• Éducation et recherche : cibles fréquentes pour le vol de propriété intellectuelle et le détournement de puissances de calcul.

L'Intelligence artificielle en cybersécurité constitue un double vecteur d'évolution. D'un côté, les attaquants l'utilisent pour automatiser la génération de courriels de hameçonnage personnalisés, créer des deepfakes vocaux ou visuels pour des arnaques au président (Business Email Compromise, BEC) et améliorer l'efficacité des logiciels malveillants. De l'autre, les équipes de défense emploient l'IA pour détecter les anomalies comportementales, corréler les alertes et accélérer la réponse aux incidents.

La technologie blockchain est explorée pour sécuriser certains types de transactions et d'échanges de données, mais elle n'est pas intrinsèquement immunisée contre toutes les formes d'attaques, notamment les vulnérabilités des contrats intelligents et les attaques à 51 %.

Face à la croissance du risque cyber, la demande en professionnels qualifiés est soutenue. L'ENISA estimait à 300 000 le nombre de postes en cybersécurité non pourvus en Europe en 2022, et à 3,5 millions au niveau mondial selon Cybersecurity Ventures.

Les principaux métiers incluent :

• L'Ingénieur en cybersécurité, chargé de concevoir et mettre en œuvre les architectures de sécurité.
• Le Responsable de la sécurité des systèmes d'information (RSSI), qui pilote la stratégie et la gouvernance cyber de l'organisation.
• L'analyste SOC (Security Operations Center), qui surveille les événements de sécurité via un SIEM (informatique).
• Le testeur d'intrusion (pentesteur), qui évalue la résistance des systèmes en simulant des attaques réelles.
• L'analyste en réponse aux incidents (DFIR, Digital Forensics and Incident Response), spécialisé dans l'investigation numérique post-attaque.

Les certifications reconnues structurent les parcours professionnels : ISO/IEC 27001 (auditeur ou lead implementer), NIST Cybersecurity Framework, OWASP, ainsi que des certifications privées comme CISSP, CISM, CEH ou OSCP.

• Cybersécurité
• ANSSI
• Hameçonnage
• Vulnérabilité informatique
• Test d'intrusion
• Authentification multifacteur
• Plan de continuité d'activité
• Directive NIS2
• ISO/IEC 27001
• Cyberassurance