Les Statistiques sur la Cybersécurité à Connaître Pour 2021

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Table Des Matières

L’année 2020 a été marquée par une transformation numérique rapide et sans précédent pour de nombreuses organisations, notamment par l’adoption du télétravail à grande échelle. Cette transformation a également entraîné une hausse fulgurante des risques de cybersécurité pour de nombreuses organisations et une croissance importante du nombre de cyberattaques enregistrées.

Afin de se préparer pour l’année à venir et pour les risques qui continueront à augmenter, voici de nombreuses statistiques pertinentes que vous devriez connaître pour l’année 2021:

Statistiques sur la Cybersécurité des Applications

Plus de la moitié des vulnérabilités des applications Web ont un niveau de risque élevé ou critique – Les applications Web sont devenues essentielles dans la vie quotidienne de chacun – que ce soit pour faire des transactions bancaires, pour passer une commande au restaurant ou pour collaborer en milieu de travail – il est impossible de nier qu’elles occupent une place importante dans nos vies. Afin de conserver un avantage concurrentiel, les entreprises y ajoutent constamment de nouvelles fonctionnalités et de nouvelles intégrations, ce qui accroît la complexité de ces applications. C’est pourquoi des vulnérabilités critiques, souvent inconnues des équipes de développement, sont introduites dans les applications et peuvent avoir de graves répercussions lorsqu’elles sont exploitées par un attaquant.

Le 2/3 de toutes les attaques ciblent les applications Web incluent l’injection SQL – Les attaques par injection SQL, l’un des contrôles de sécurité prédominants abordés dans le standard de l’OWASP, ciblent la base de données de l’application et tentent d’accéder à toutes les données stockées. Les vulnérabilités qui impliquent l’injection SQL sont souvent critiques, car elles sont généralement accessibles sans nécessiter d’accès spécifique.

Les cyberattaques ciblant les applications Web ont augmenté de 52 % en 2019 selon un rapport publié à la mi-2020 – Les pirates informatiques sont conscients de la hausse des vulnérabilités liée à l’utilisation croissante des applications Web. Elles sont devenues l’un des principaux vecteurs d’attaque privilégiés par les pirates en raison de la quantité de données sensibles qu’elles traitent.

Plus de 20% de toutes les cyberattaques en 2020 ciblaient des applications Web – Près d’une cyberattaque sur quatre visent une application Web.

Statistiques sur la Cybersécurité Concernant la COVID-19

Pendant la pandémie de la COVID-19, les attaques de phishing (hameçonnage) ont augmenté de 667 % en un mois seulement – Les pirates informatiques profitent de la pandémie pour créer des scénarios convaincants, soit en combinant la peur et le sentiment d’urgence pour persuader les gens de télécharger des pièces jointes malveillantes ou de soumettre leurs données d’accès personnelles dans une page Web malveillante. Par exemple, certains courriels d’hameçonnage envoyés en mars 2020 se sont fait passer pour des représentants du gouvernement et ont prétendu inviter les utilisateurs à un essai de vaccin, leur demandant de remplir un formulaire joint au courriel.

Plus de 30 % des organisations canadiennes ont connu une hausse notable des cyberattaques pendant la pandémie – Selon une enquête menée par l’Autorité canadienne pour les enregistrements Internet (ACEI), plus de 30 % des organisations canadiennes ont été confrontées à une augmentation importante des cyberattaques au cours de la pandémie COVID-19.

La majorité des entreprises canadiennes ont mis en place de nouvelles mesures de cybersécurité en réponse directe à la COVID-19 – Avec l’augmentation des cyberattaques en 2020, la plupart des organisations au Canada ont été obligées de mettre en place de nouvelles mesures de cybersécurité. En outre, l’adoption du télétravail a entraîné des cyberrisques inattendus, contraignant les entreprises à mettre en place de nouvelles protections.

Les cyberattaques contre les banques ont augmenté de 238 % durant la pandémie COVID-19 – Les banques ont constitué une cible de choix pour les pirates informatiques en 2020, car des millions de consommateurs ont modifié leurs habitudes bancaires et d’achat en raison du confinement, notamment avec une augmentation de 50 % des transactions réalisées en ligne pendant la pandémie. L’objectif premier des pirates est de voler des données bancaires personnelles ou des informations sensibles qu’ils peuvent utiliser pour accéder à des fonds et les détourner.

Les attaques par ransomware ont augmenté de 148 % au plus fort de la pandémie – Compte tenu de l’augmentation du phishing, il n’est pas surprenant que les attaques par ransomware aient également augmenté de manière fulgurante pendant la pandémie. Les logiciels malveillants de cryptographie sont généralement diffusés par le biais de pièces jointes de courriels infectées, ce qui permet aux pirates d’infecter le poste de travail avec des logiciels malveillants; ces derniers sont conçus pour exploiter les vulnérabilités de façon à se propager dans l’ensemble d’un réseau et à infecter le plus grand nombre d’appareils possible.

Selon l’ACEI, les gouvernements canadiens ont constaté une augmentation de 20 % des incidents de cybersécurité en mai 2020 – De nombreux organismes gouvernementaux canadiens ont été confrontés à une augmentation des attaques par ransomware et par hameçonnage en mai 2020, car beaucoup ont opté pour le télétravail, entraînant divers incidents de cybersécurité. Cette même tendance a été observée de l’autre côté de la frontière avec de nombreuses administrations locales américaines déclarant l’état d’urgence en raison d’attaques par ransomware.

Découvrez comment l'expertise de Vumetric a amélioré la cybersécurité de 1,000+ organisations.

Quelle que soit la taille de votre entreprise ou votre secteur d’activité, nos experts comprennent les risques les plus complexes auxquels vous êtes confrontés quotidiennement et qui pourraient être désastreux s’ils sont exploités par un pirate.

Statistiques sur la Cybersécurité au Canada

80% des entreprises canadiennes ont été atteints par une cyberattaque entre 2019 et 2020 – Selon une enquête menée par l’ACEI, seulement 20% des entreprises canadiennes n’ont pas enregistré de cyberattaques entre 2019 et 2020.

30% de toutes les organisations canadiennes touchées par une cyberattaque ont vu leur travail quotidien interrompu – Du déni de service (DDoS) aux postes de travail cryptés, près d’un tiers (1/3) des entreprises ont subi une perte de productivité et ont vu leurs opérations quotidiennes affectées par une attaque, entraînant des retards pour leurs clients, des pertes de revenus et une flambée des coûts de récupération technique.

45% des entreprises canadiennes ont réalisé un test d’intrusion en 2020 pour prévenir de futures cyberattaques – Les tests d’intrusion constituent le moyen le plus efficace de protéger une organisation contre les cyberattaques, car ils permettent de reproduire une cyberattaque en suivant les mêmes étapes que celles d’un pirate informatique à la recherche de vulnérabilités exploitables. En outre, le test d’intrusion classe par ordre de priorité les failles de sécurité d’une organisation selon leur niveau de risque et fournit des recommandations pour utiliser leurs ressources de manière efficaces afin de mettre en place des mesures de protection contre les cyberattaques.

41% des organisations canadiennes prévoient réaliser des tests d’intrusion pour atténuer leurs cyberrisques en 2020 et 2021 – Près de la moitié des entreprises prévoient l’intégration de tests d’intrusion dans leur stratégie de gestion des risques pour l’année à venir. Beaucoup d’entre elles se heurtent à des obstacles ou ont du mal à justifier le retour sur l’investissement des tests pour leur entreprise, mais les avantages sont évidents. Par exemple, les startups possèdent des ressources limitées, l’investissement du test d’intrusion peut donc sembler contre-intuitif, mais un tel investissement leur permettra de satisfaire à diverses exigences pour des partenariats commerciaux ce qui ouvre la porte à davantage de ressources.

66 % des organisations au Canada détiennent des données sensibles de leurs clients, employés, fournisseurs, vendeurs ou partenaires – Cela explique pourquoi tant d’organisations investissent dans des mesures de cybersécurité telles que les tests d’intrusion. Que ce soit pour satisfaire aux exigences de leurs clients, sécuriser des biens sensibles ou pour prévenir les pertes financières dues à la baisse de clientèle suivant une fuite de données, la mise en place de protections robustes est essentielle dans le monde numérique d’aujourd’hui.

 

Statistiques sur les Fuites de Données

71 % des fuites de données sont motivées par des raisons financières – Un vaste marché sur le Dark Web est consacré à la revente et à l’achat de données ayant fait l’objet d’une fuite après une attaque de fuite de données. Ces données sont souvent utilisées par les pirates pour tenter de se connecter aux systèmes critiques d’une entreprise en essayant d’utiliser les données d’accès personnelles qu’ils peuvent trouver pour chaque employé. Cela n’est pas surprenant pour la plupart des experts de l’industrie, car les statistiques ont montré que la cybercriminalité est plus rentable que les opérations combinées du trafic de la drogue dans le monde.

20 % des fuites de données sont motivées par le cyberespionnage – Selon le rapport annuel de Verizon, 20% des fuites de données sont motivées par le cyberespionnage, dont l’espionnage d’entreprise.

43% des fuites de données en 2020 se sont produites par le biais d’applications Web cloud – Avec la grande quantité de données sensibles stockées dans les applications Web, les risques associés à la grande flexibilité des configurations sur les infrastructures cloud (souvent mal configurées) et les vulnérabilités critiques de ces applications, ces applications cloud forment une cible de choix pour les attaquants.

25% des fuites de données en 2020 impliquaient l’hameçonnage comme vecteur d’attaque – Quelle que soit la robustesse des mesures de cybersécurité d’une entreprise, l’hameçonnage peut contourner un grand nombre de ces protections et les rendre inefficaces.

Statistiques sur la Cybersécurité Dans le Secteur de la Santé

Les appareils médicaux présentent en moyenne 6 vulnérabilités qui ne peuvent être corrigées – La majorité des appareils médicaux dépendent des systèmes d’exploitation obsolètes présentant de nombreuses vulnérabilités qui ne peuvent être corrigées, bien que ces risques puissent être atténués par une segmentation appropriée du réseau.

62 % des administrateurs d’hôpitaux se sentent mal préparés à faire face aux cyber risques – Compte tenu du fait que les hôpitaux dépensent de 50 à 75 % de moins pour la cybersécurité que les autres secteurs, les administrateurs ne disposent pas des ressources nécessaires pour protéger leur infrastructure contre les cyberattaques.

24 % des employés du secteur de la santé n’ont jamais reçu de formation de sensibilisation à la cybersécurité – La majorité des incidents dans le secteur de la santé sont causés par un manque de sensibilisation aux risques liés à la cybersécurité. Les cyberattaques contre les hôpitaux sont si fréquentes que de nombreuses agences gouvernementales américaines, telles que le FBI et la CISA, ont récemment émis un avertissement concernant la menace imminente qu’elles représentent. Ces attaques résultent généralement de courriels d’hameçonnage sur lesquels un employé a cliqué, car un employé d’hôpital sur sept ouvre des courriels d’hameçonnage. Une récente attaque par ransomware qui a ciblé un hôpital aux États-Unis a obligé celui-ci à détourner des ambulances vers des hôpitaux voisins et ainsi à retarder des opérations chirurgicales après qu’un employé eut cliqué sur une pièce jointe malveillante dans un courriel. Une sensibilisation approfondie à la cybersécurité est le moyen le plus efficace de prévenir ces incidents et de réduire considérablement le risque d’une cyberattaque pour une organisation.

Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses. Cet exercice s’appuie généralement sur les outils utilisés par les pirates informatiques ainsi que diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.

De plus, un test tente d’exploiter vos vulnérabilités afin de déterminer leur impact potentiel sur votre entreprise si elles étaient utilisées dans un scénario de piratage réel. Ultimement, ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques. Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:

  • Un pirate informatique peut-il accéder à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour commettre des actes malicieux ?
  • Une infection par un logiciel malveillant peut-elle se propager sur notre réseau ?
  • Un pirate peut-il altérer son rôle d’utilisateur dans une application afin d’obtenir des permissions administratives ?

Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué. Voici quelques cas d’utilisation courante pour un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
  • Pour protéger les données sensibles contre l’exfiltration.
  • Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
  • Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.

Il est conseillé à toutes les entreprises de procéder à un test d’intrusion au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.

Diverses mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales. C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.

Bien que nous utilisons une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est  basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • L’impact potentiel: L’impact potentiel d’une attaque qui exploite la vulnérabilité combiné à son effet sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)

Autres Articles du Blogue de Vumetric

Impact d'une cyberattaque

Les Conséquences d’une Cyberattaque sur Votre Entreprise

Une cyberattaque est une attaque menée par des pirates informatiques dans le but d’endommager un …

Lire l'Article
test d'intrusion vs bug bounty

Test d’Intrusion vs Bug Bounty

En raison de la récente vague d’incidents liés aux ransomwares, les organisations et les …

Lire l'Article
Comment Protéger WordPress des Pirates

Comment Protéger WordPress des Cyberattaques Courantes

Les sites WordPress sont régulièrement piratés, car il s’agit de loin du logiciel le plus …

Lire l'Article

Certifications

Nous Détenons des Certifications Reconnues Mondialement

Contactez un Expert Certifié

Parlez avec un vrai spécialiste. Aucun engagement. Réponse sous 24h.

fournisseur de test d'Intrusion

Confidentialité

Appelez-nous au: 1-877-805-7475

Vous Désirez Savoir Comment Votre Entreprise Est à Risque d'Être Piratée?

ou appelez nous directement au: