Les principaux acteurs de la menace

Les principaux acteurs de la menace

Comprendre qui attaque les organisations — et pourquoi — est le fondement de décisions éclairées en matière de risques au niveau du conseil d'administration.

1.2 Acteurs étatiques

Des groupes étatiques russes, chinois, nord-coréens et iraniens mènent des attaques à des fins de renseignement géopolitique, d'espionnage industriel et de perturbation des infrastructures critiques. Ces acteurs opèrent en toute impunité, disposant de ressources et d'un temps illimités.

  • → Le « Typhon Volt » chinois : prépositionné depuis des années au sein des infrastructures critiques américaines et européennes, il attend des déclencheurs géopolitiques. Les entreprises pharmaceutiques, énergétiques et de semi-conducteurs sont des cibles prioritaires.
  • → Le ver des sables russe : responsable de NotPetya (2017) — plus de 10 milliards de dollars de dégâts à l’échelle mondiale, dont 300 millions pour Maersk et 870 millions pour Merck. Qualifié d’« acte de guerre » par les assureurs.
  • → Le groupe Lazarus, en Corée du Nord, utilise des rançongiciels et vole des cryptomonnaies pour financer des programmes étatiques. Il est responsable de l'attaque WannaCry (2017), qui a causé plus de 4 milliards de dollars de dégâts à l'échelle mondiale et a crypté 80 000 appareils du NHS.

Groupes criminels organisés de ransomware (RaaS)

Le modèle « ransomware-as-a-service » a industrialisé la cybercriminalité. Des groupes comme LockBit, BlackCat/ALPHV, Cl0p et Royal fonctionnent selon des modèles d'affiliation, recrutant des spécialistes techniques, des négociateurs et des réseaux de blanchiment d'argent.

  • → Demande de rançon moyenne des entreprises (2024) : 5 M$ à plus de 50 M$ . Coût total moyen d’un incident : 4,5 M$ pour les entreprises de taille moyenne, plus de 30 M$ pour les grandes entreprises.
  • → Double extorsion : données cryptées ET exfiltrées. Les victimes risquent à la fois l’arrêt de leurs activités et la divulgation publique de données sensibles.
  • → Triple extorsion : les attaquants contactent directement les clients, les partenaires, les organismes de réglementation et les médias, créant ainsi une pression indépendante de la réponse de l'organisation.
  • → Le modèle RaaS signifie que les attaques sont désormais accessibles à des acteurs peu qualifiés — n'importe quel criminel peut louer l'infrastructure.