Les cyberattaques sont-elles saisonnières?

Tout comme le magasinage qui augmente à l’approche des Fêtes et les cas de grippe qui se multiplient en hiver, on remarque des tendances saisonnières claires en ce qui concerne le piratage. Toute organisation qui cherche à garder une longueur d’avance sur les cybermenaces se doit de comprendre ces tendances. En outre, celles qui ne parviennent pas à les anticiper pourraient se retrouver avec des systèmes vulnérables précisément au moment où ils sont le plus en danger.

C’est pourquoi il est essentiel d’établir un plan d’intervention rigoureux en cas d’incident.

Les cybercriminels, les hacktivistes et même les États-nations ne sont pas seulement opportunistes, mais aussi stratégiques : chacune de leurs actions est calculée. Ils planifient leurs attaques pour qu’elles coïncident avec des moments de faiblesse, de forte activité ou de distraction. Voici les périodes où les cyberattaques ont tendance à monter en flèche, et pourquoi :

1. Quatrième trimestre (d’octobre à décembre) : la frénésie des Fêtes
Le quatrième trimestre de l’année représente une période de pointe pour les cybercriminels en raison de l’augmentation du magasinage, des campagnes de fin d’année des entreprises et souvent du manque de ressources des équipes des TI, dont les membres peuvent être en vacances. Les sites de vente en ligne et de commerce électronique voient leur trafic monter en flèche pendant la période du Vendredi fou, du Cyberlundi et des Fêtes, ce qui en fait des cibles attrayantes pour le clonage de cartes de crédit, la création de sites web frauduleux et l’envoi de courriels d’hameçonnage. De plus, certains cybercriminels déploient stratégiquement des rançongiciels juste avant les Fêtes, moment où les entreprises ne sont pas prêtes à y réagir rapidement. L’urgence de reprendre ses activités pendant une période de vente critique peut entraîner le paiement de rançons plus élevées.

2. Premier trimestre (de janvier à mars) : la saison des impôts
En Amérique du Nord et dans de nombreux autres pays, la saison des impôts commence au premier trimestre de l’année. Les pirates informatiques profitent de l’occasion pour voler des renseignements personnels et commettre de la fraude fiscale.

C’est le moment idéal pour l’hameçonnage et le vol d’identité : les faux courriels de l’Internal Revenue Service, les déclarations de revenus frauduleuses et les logiciels fiscaux malveillants sont courants. Les particuliers et les cabinets comptables sont particulièrement vulnérables.

3. Été (de juin à août) : accalmie pour certains, crise pour d’autres
L’été peut entraîner une baisse des cyberattaques dans certains secteurs, comme l’éducation, ainsi qu’une période où de nombreuses organisations baissent leur garde. Étant donné que certains des principaux membres de leur personnel informatique sont en vacances, les délais de réponse peuvent augmenter, et les erreurs de configuration sont plus susceptibles de passer inaperçues. Certains cybercriminels attaquent délibérément pendant cette accalmie afin de tirer parti de la surveillance réduite des organisations et de la lenteur de leur réponse aux incidents.

4. Rentrée scolaire (d’août à septembre) : le secteur de l’éducation dans le collimateur
Alors que les étudiants et les professeurs retournent dans les salles de classe, les écoles et les universités constatent une hausse des cyberattaques.

• Rançongiciels : les établissements d’enseignement, souvent sous-financés et sous-protégés, sont les principales cibles des rançongiciels. Les cybercriminels utilisent des identifiants usurpés pour accéder aux systèmes des universités, en particulier au début de l’année scolaire.

5. Cycles électoraux : piratage politique
En période électorale, les États-nations et les hacktivistes multiplient les activités visant à semer la discorde, à voler des données, ou à manipuler l’information.

• Attaques par déni de service distribué et désinformation : les sites web gouvernementaux, les campagnes politiques et les médias sont des cibles fréquentes.
• Fuites de courriels et atteintes à la protection des données : ces attaques sont souvent planifiées afin d’entraîner autant de perturbations que possible et une couverture médiatique maximale.

6. Cycles de correctifs et de mises à jour : la course contre la montre
Le déploiement mensuel de correctifs de Microsoft et d’autres mises à jour programmées similaires sont essentiels à la sécurisation des systèmes. Cependant, le délai entre l’annonce d’un correctif et sa mise en œuvre représente un moment en or pour les cybercriminels.

• Attaques du jour zéro : Les cybercriminels inversent la conception des correctifs pour exploiter les systèmes non corrigés, souvent dans les heures suivant l’annonce de la mise à jour.

Ces tendances saisonnières révèlent un fait important : les cybermenaces ne sont pas aléatoires. Elles suivent le rythme du comportement humain, des activités commerciales et des cycles institutionnels. La prévisibilité qui en résulte est une arme à double tranchant. D’une part, elle offre aux victimes potentielles une chance de se préparer. D’autre part, cela signifie que tout écart dans l’état de préparation est susceptible d’être exploité. Et quand une attaque frappe, le compte à rebours commence.

Un solide plan d’intervention en cas d’incident est aussi important qu’un pare-feu ou un logiciel antivirus. Quelle que soit la sécurité de vos systèmes, aucune organisation n’est à l’abri d’une attaque. Ce qui distingue les perturbations mineures des pertes catastrophiques, c’est la rapidité et l’efficacité avec lesquelles vous réagissez.

Voici pourquoi la préparation est essentielle :

1. Rapidité d’intervention : La plupart des dommages causés par une attaque surviennent dans les premières heures. Un plan d’intervention en cas d’incident bien rodé renseignera votre équipe sur les mesures à prendre, les personnes à avertir et la manière de contenir la menace rapidement.
2. Limitation de la portée de l’attaque : Un incident non contenu peut se propager, infecter d’autres systèmes et exfiltrer davantage de données, ce qui peut contribuer à augmenter le temps d’arrêt. La détection et le confinement rapides des attaques sont cruciales.
3. Conformité et réputation : De nombreux secteurs d’activité sont assujettis à des lois strictes en matière de déclaration des attaques. Une intervention tardive ou mal gérée peut donc entraîner des sanctions juridiques et une atteinte à la réputation qui perdure.
4. Apprentissage et renforcement : Un bon processus d’intervention en cas d’incident intègre une analyse post-incident. Lorsque les organisations comprennent comment une attaque s’est produite, elles peuvent renforcer leurs défenses et prévenir des incidents similaires à l’avenir.

La proactivité représente toujours la meilleure défense.Par cela, on entend qu’il est non seulement important de comprendre quand vous êtes davantage vulnérable à une attaque, mais aussi de disposer des outils, de la formation et des protocoles nécessaires pour réagir.

Commencez par vous poser les questions suivantes :

• Avons-nous un plan d’intervention en cas d’incident?
• L’avons-nous testé dans un scénario réaliste?
• Les membres du personnel concernés savent-ils quoi faire en cas d’attaque?
• Une formation de sensibilisation à la cybersécurité est-elle offerte aux employés? Si oui, est-elle donnée en période de risque élevé?
• Surveillons-nous les tendances saisonnières qui pourraient avoir une incidence sur notre exposition aux risques?

La cybercriminalité n’est pas près de disparaître. Toutefois, si elle reconnaît les tendances et se prépare en conséquence, votre organisation peut renverser la vapeur.

N’attendez pas qu’il soit trop tard : développez dès maintenant vos capacités d’intervention en cas d’incident, car le coût de l’inaction surpasse de loin celui de l’investissement dans la préparation. Consultez le rapport Cyberincidents et renseignements : 2024 de KPMG au Canada, qui offre une analyse approfondie des menaces auxquelles les organisations canadiennes ont été confrontées en 2024 et brosse un portrait prospectif de ce qui les attend en 2025!