• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Rapport Verizon: l'humain reste le maillon faible de la cyberperformance

Charles Cuvelliez et Jean-Jacques Quisquater

Publié le 08 juin 2023 à 12:49 - Mis à jour le 18 décembre 2024 à 19:15

Composite, Quisquater, Cuvelliez,

Composite, Quisquater, Cuvelliez,

DR

L'essentiel de l'actualité

mardi 7 juillet

  • Le gouvernement français abaisse sa prévision de croissance pour 2026 à 0,7 %
  • France : le déficit commercial se creuse en mai
  • Le gouvernement nomme un « coordonnateur » des projets industriels dits « Notre-Dame »
  • Commerce : la Syrie veut la France comme « premier partenaire »
  • L’investissement étranger repart à la hausse, selon l’ONU
Voir plus

Le Quotidien Numérique

08 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Taxe de séjour : la faille juridique qu'Airbnb espère faire sauter dans toute la France

  • 2

    Le Burkina Faso mobilise plus de 457 millions d'euros pour moderniser ses infrastructures routières

  • 3

    Robotique : la contre-offensive française pour sortir de la course aux milliards de données

  • 4

    Chômage, salaires, emploi : les sombres prévisions 2026 de l'OCDE pour la France

  • 5

    Pompes à chaleur, radiateurs, véhicules électriques… Près de deux Français sur trois voient l'électrification d'un bon œil

  • 6

    Dans les coulisses du hub d'Air France à Roissy, la mécanique invisible du voyage aérien

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. La publication du Data Breach Investigation Report est un évènement fort attendu : il a pour lui l'ancienneté (20 ans) et donne ainsi, à ceux qui le suivent chaque année, un panorama de l'évolution de la menace cyber. Le facteur humain reste la cause première des fuites de données. Le prétexte, une nouvelle forme d'attaque s'y développe et, évidemment, le coût des ransomwares a doublé par rapport à l'an passé. Par Charles Cuvelliez, Université de Bruxelles (Ecole Polytechnique de Bruxelles),...

Le rapport annuel de Verizon se base sur un réseau de partenaires qui lui font remonter tous les incidents cyber et, le cas échéant, quand il y a eu une fuite de données. Pour ce rapport, 16.312 incidents de sécurité à travers le monde ont été examinés : 5.199 ont impliqué une fuite de données.

Répartition des incidents par catégorie

En 2022, les dénis de services (inonder une entreprise de requêtes par Internet pour la bloquer numériquement) représentent le plus important type d'incidents de sécurité en volume (à peu près 40 % venant d'un pic en 2021 à 50 %) suivi des incidents d'intrusion dans les systèmes. Ce ne sont pas les dénis de services qui sont à l'origine des brèches de données mais bien les intrusions, de loin (40 % des brèches). Ce sont pourtant les attaques les plus complexes. Viennent ensuite les brèches de données rendues possibles via les applications web (35%) : on y utilise les informations d'identification volées (login et mot de passe) ailleurs et on accède ainsi aux données auxquelles la victime avait légitimement accès. Car les accès sont rarement protégés par plus ! Vient ensuite l'ingénierie sociale pour 20 % des incidents qui aboutissent à une brèche de données.

Pour cette dernière catégorie, ce sont surtout les emails professionnels compromis (business email compromises) qui représentent plus de 50 % des incidents. Dans ces attaques, un hacker prend possession d'un email professionnel d'une personne et puis s'adresse à ses correspondants en se faisant parfaitement passer pour lui.

Les vecteurs d'attaque

Dans 24 % des cas de brèches de données, les ransomwares en sont la cause. Ils comptent pour à peu près 15 % de tous les incidents de sécurité. Ceci dit, les ransomwares ne sont pas le premier vecteur d'attaque qui mènent à des brèches de données. Il y a tellement plus simple : l'utilisation des informations d'identification volées, de nouveau. L'hameçonnage arrive en quatrième cause de brèche de données et le pretexting en cinquième place. Le pretexting est un contact de quelqu'un que vous pensez connaître, qui se fait passer pour un de vos proches ou, plus subtilement, une connaissance professionnelle pas si proche mais qui est subitement dans le pétrin et a besoin d'aide. Si cette personne n'est pas trop proche, vous détecterez moins vite que cela ne pourrait pas être elle mais vous voudrez l'aider. L'exploitation des vulnérabilités, finalement, n'est à quelques pourcent seulement dans ce classement des vecteurs d'attaque avec fuite de données. Ceci dit, les conséquences d'un ransomware sont telles que cette troisième place sur le podium ne doit pas nous rassurer ! D'ailleurs les ransomwares sont le vecteur d'attaque préféré du crime organisé. En d'autres mots, si vous êtes ciblés par ce dernier, vous savez déjà comment vous le serez. Il y a eu moins de supply chain attacks (attaques par l'intermédiaire de vos fournisseurs) avec une diminution de 7 % à 5 % comme s'il y avait eu une prise de conscience de mieux faire attention aux fournisseurs mais Verizon en doute un peu. C'est simplement dû à l'augmentation de l'utilisation des données d'identification volées qui passe de 41,6 % à 44,7 %. Les autres vecteurs d'attaque diminuent mécaniquement.

Malheureusement, l'élément humain reste de loin la cause principale des brèches de données : 74 % de toutes les brèches incluent ce facteur humain, avec des gens qui ont fait une erreur, ou bien ont utilisé leurs droits informatiques pour avoir accès à de l'information ou il s'agit de l'utilisation d'informations d'identification volées ou, bien sûr, de l'ingénierie sociale. Comme on peut s'en douter, 83 % des brèches impliquent des acteurs externes et la motivation n'est que financière (95 %). Ces acteurs externes sont surtout issus du crime organisé à 75 %. Il y a eu très peu d'attaques menées par des Etats alors qu'avec la guerre en Ukraine, on aurait pu s'attendre à une augmentation.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Comment forcer la porte d'entrée

Les trois moyens avec lesquels les attaquants arrivent à pénétrer dans une organisation sont les informations d'identification volées (50 %), le phishing (17 %) et l'exploitation de vulnérabilités (quelques pour cents). Verizon revient sur la fameuse vulnérabilité log4j qui fut exploitée fin 2021, début 2022 : 32 % des tentatives pour voir si les entreprises avaient la vulnérabilité chez elles ont été réalisées dans les 30 jours de la révélation de son existence avec un pic d'activité après 17 jours. Ceci donne un bon ordre de grandeur du délai pour réparer les vulnérabilités, une fois annoncées comme exploitables.

Dans les attaques de 2022, les actifs/entités visés ont été pour plus de 80 % les serveurs des organisations. Les machines individuelles n'arrivent qu'en 3e position derrière les individus à 20 %. Quand un actif est visé avec des données : à plus de 50 % des cas, ce sont des données personnelles suivies des informations d'identification, ensuite des données internes à l'organisation. Les données médicales, bancaires ou de paiement arrivent en 5, 6 et 8e position.

Par types d'attaques

Quand il s'agit de pénétrer dans un système, cette attaque est perpétrée par des hackers qui ne peuvent qu'être expérimentés avec comme but final d'y installer un ransomware. En utilisant les données du FBI, Verizon a pu mettre à jour l'impact des ransomwares sur les organisations : le coût médian des ransomwares a doublé à 26.000 dollars. 95 % des ransomwares ont un coût inférieur à 2,25 millions de dollars (ce qui veut dire que 5 % sont au-dessus et cela peut crever certains plafonds). Le coût pour se remettre d'un ransomware augmente donc même si les montants des rançons sont plus bas. C'est que la taille moyenne des entreprises victimes de ransomwares diminue, comme le montant des ransomwares exigés pour espérer être payés. Verizon précise par quel moyen un ransomware pénètre les organisations : les emails et les applications pour accéder à distance aux ordinateurs sont à égalité pour le premier à 30 %, le second à 20 %. Les applications web arrivent ensuite.

Dans le cas de l'ingénierie sociale, ce sont le phishing et pretexting qui continuent de dominer. Le pretexting, ce sont des prises de contact avec un sentiment d'urgence ou émotionnel pour répondre ou entreprendre une action dont on ne mesure pas à l'instant les conséquences possibles, comme divulguer une information : cela va très vite. Ce sont les business email compromises qui restent le plus dangereux dans cette famille.

Les erreurs humaines sont celles qui, quasi à 100 %, finissent en brèches de données. Ce sont les erreurs de distribution de l'information à la mauvaise personne qui arrivent en tête avec 43 % des brèches suivi par des erreurs de publication (trop tôt, trop de détails, pas la bonne audience) à 23 %. La majorité des erreurs humaines proviennent des développeurs et des administrateurs systèmes, dans les deux cas autour de 40 %. Les utilisateurs finaux n'interviennent finalement que dans 20 % des brèches.

Les dénis de service continuent de dominer les incidents. Les capacités d'attaque augmentent : 2,5 % d'entre elles arrivent à mobiliser 99 GBits/s à 124 GBits/s de bande passante. Même la médiane a cru de 1.4 GBits/S à 2.2 GBits/s. Il est devenu tellement facile de louer de la bande passante et des CPU que ces chiffres ne vont faire qu'augmenter. Fini le temps des botnets avec des millions de caméras connectés à Internet à mobiliser (pirater) avant toute attaque. Quelques serveurs dans le cloud suffisent. Même si les protections anti-déni de service fonctionnent bien, il faut qu'elles suivent en capacité.

La perte d'appareils est à plus de 90% la cause première des brèches de données via les appareils portables. Le vol ne vient que pour quelques pour cents. Le problème, c'est qu'en cas de vol ou de perte, on ne saura jamais si les données ont été consultées ou pas. On perd plus son téléphone mobile (70 % des cas) que son ordinateur (portable, 25 % des cas).

Conclusions

L'élément humain, c'est désespérant, est toujours la cause principale des brèches et la plupart des attaques ont trait à de l' ingénierie sociale. Même les sociétés les mieux protégées techniquement se retrouvent tout à coup vulnérables car on ne peut pas « patcher » le comportement humain ! Il est temps de sophistiquer les entrainements du personnel. De simples tests de reconnaissance de phishing ou des formations en ligne ne suffisent pas. Organiser des tests de pretexting n'est pas simple non plus. Mais au fond, il y a plus simple : on aime tous les histoires... Publier et raconter ce qui est arrivé aux autres captera l'attention.

À lire également

  • L'employé et le fournisseur, le duo perdant de la cybersécurité
  • Cybersécurité : « L’univers du logiciel s’est complexifié, effectuer des tests de sécurité ne suffit plus »
  • Cybersécurité des entreprises : une startup récompensée au FIC de Lille
  • La cybersécurité est devenue vitale pour toutes les organisations petites et grandes

Ce qui pose aussi problème, ce sont les comportements dans la sphère privée : soit on croit que les bonnes pratiques chez soi, transposées au bureau suffisent (quelles bonnes pratiques ?) ou bien, une fois chez soi, on oublie ce qu'on a appris au bureau. Rien de nouveau sous le soleil.

______

Pour en savoir plus : DBIR 2023 Data Breach Investigations Report, Verizon

Charles Cuvelliez et Jean-Jacques Quisquater

Sur le même sujet

Véronique Chabourine

OPINION. « Sommet de l’OTAN : vers une accélération de la logique capacitaire ? »

En plaçant le développement des capacités au cœur de son agenda, l’OTAN confirme une évolution déjà engagée. Le sommet d’Ankara permettra-t-il d’en accélérer la mise en œuvre ?

Idées & Débats
Sébastien Lefébure

OPINION. « Les canicules ont un coût caché : celui d’une économie qui peine encore à anticiper »

Les épisodes de chaleur extrême qui ont frappé une grande partie de l’Europe ces dernières semaines ont été largement commentés sous l’angle sanitaire ou environnemental. Pourtant, une autre conséquence mérite aujourd’hui toute l’attention des dirigeants : leur impact économique. Car une canicule ne ralentit pas uniquement les individus. Elle ralentit aussi les entreprises.

Idées & Débats
Des grues sur un chantier de construction de maisons individuelles dans un lotissement à Valence.

OPINION. Logement : « Après dix ans de défiance, faisons enfin confiance aux maires »

La crise du logement impose de changer de méthode. Il ne suffit plus d’appeler les élus locaux à leurs responsabilités ; il faut leur faire confiance. Il ne suffit plus de proclamer la décentralisation ; il faut enfin transférer de vrais leviers. Par Gil Avérous, maire de Châteauroux et président de Villes de France, et cent maires

Idées & Débats
Louis Raynaud de Lage

OPINION. « L’IA, bon serviteur, mais mauvais maître, doit faire l’objet de choix conscients »

L'IA est devenue un enjeu de puissance et de dépendance stratégique. Après l'affaire Anthropic, nations, entreprises et individus risquent de perdre leur souveraineté face à des algorithmes. Comment préserver notre libre arbitre et rester maîtres de nos choix ?

Idées & Débats
Warhol / Khomeiny

OPINION. « Le Warhol que Khomeiny n'a pas brûlé » (Michel Santi)

La République islamique voulait chasser l'influence occidentale. Elle conserve pourtant, dans les réserves d'un musée de Téhéran, l'une des collections d'art moderne les plus précieuses hors d'Europe et des États-Unis — dont personne, pas même le régime qui la détient, ne connaît la valeur exacte.

Idées & Débats
Anne Duisabeau

OPINION. « Le changement climatique s'accélère : les politiques publiques, elles, changent de cap »

La France vient de connaître un épisode de canicule d'une intensité inédite. Chaque été rappelle un peu plus brutalement que, pour survivre, nos forêts doivent s'adapter au changement climatique.

Idées & Débats
Clôture des Rencontres d'Aix 2026

OPINION. Rencontres économiques d'Aix : « 14 engagements pour une présidentielle des idées et de l’action »

Après trois jours de débats réunissant près de 10 000 participants, 480 intervenants, 55 pays et 90 sessions, la 26e édition des Rencontres Économiques d'Aix-en-Provence se conclut par un appel à l'action.

Idées & Débats
Vianney Devienne

OPINION. Mobilité électrique : « On n’achète pas une borne, on achète un écosystème de services »

Obligées de verdir leurs flottes, les entreprises françaises accélèrent l’électrification. Ce mouvement impose en parallèle le déploiement d’infrastructures de recharge. Or, derrière une borne se cache un écosystème complet de services : supervision, gestion des utilisateurs, optimisation énergétique. Ces paramètres techniques et contractuels ont un impact direct sur le TCO de l’infrastructure.

Idées & Débats