Selon l’expert en cybersécurité Nicolas Ippolito, « les organisations devraient régulièrement « se hacker » elles-mêmes pour tester leur cyber-résilience ».
Avec 278 770 cas de cybercriminalité enregistrés en 2023, un chiffre en hausse, les organisations ont du mal à protéger leurs systèmes contre les cyberattaques.
Les conséquences des incidents de cybersécurité peuvent aller des pertes financières à une atteinte durable à la confiance.
En se focalisant essentiellement sur des outils défensifs, le tissu économique français risque de passer à côté de l’essentiel : adopter une démarche de sécurité offensive pour mesurer et renforcer la cyberrésilience. C’est l’analyse de Nicolas Ippolito, Responsable Commercial de la France chez Horizon3.ai. Il rappelle que, dans la finance, des tests de résistance (« stress tests ») sont imposés par la Banque centrale européenne (BCE) depuis plusieurs années. « Toutes les organisations, quel que soit leur secteur, auraient intérêt à se soumettre volontairement à des tests de résistance réguliers », recommande l’expert.
Dans un tel test de résistance — techniquement appelé « test d’intrusion » ou simplement « pentest » — des hackers éthiques (« white hats ») sont mandatés par une organisation pour pénétrer son propre réseau afin d’y déceler des faiblesses. Mais, selon Nicolas Ippolito, cela ne nécessite plus d’intervenants humains : « Aujourd’hui, des plateformes autonomes de tests de résistance sont disponibles directement dans le cloud, prêtes à l’emploi et abordables. »
L’expert en sécurité explique : « Les pentests autonomes relèvent d’une approche de sécurité offensive. Cette approche permet de mettre au jour des vulnérabilités qui passent souvent inaperçues lors d’audits traditionnels. Les organisations obtiennent ainsi une vision claire des mesures de protection efficaces et des actions prioritaires à mener. »
Selon la division de la cybercriminalité du ministère de l’Intérieur, 278 770 faits de cybercriminalité ont été recensés en 2023*. Le Rapport 2024 sur la cybercriminalité du ministère souligne que les cyberattaques sont devenues un facteur de risque majeur pour les entreprises, avec des conséquences allant de lourdes pertes financières et arrêts d’exploitation à la perte durabe de confiance des clients et des partenaires.
Exigences croissantes en matière de cyber-résilience
Nicolas Ippolito souligne aussi le durcissement du cadre européen de cybersécurité et les obligations supplémentaires qui en découlent pour les entreprises. Au-delà des règles déjà en vigueur dans la finance, de nombreux secteurs d’infrastructures critiques sont concernés. C’est le cas de la nouvelle directive NIS2 (sécurité des réseaux et des systèmes d’information). Les débats parlementaires sur sa mise en œuvre sont attendus à l’automne 2025, pour une adoption définitive envisagée fin 2025 ou début 2026. Nicolas Ippolito rappelle que le risque cyber dépasse largement le périmètre propre d’une entreprise et inclut ses fournisseurs et partenaires de distribution : « Une attaque visant un partenaire peut rapidement se propager à l’ensemble des organisations interconnectées. C’est pourquoi NIS2 couvre explicitement toute la chaîne d’approvisionnement. »
L’expert prévient que même les organisations hors périmètre OIV (Opérateur d’Importance Vitale) ne sont pas à l’abri de conséquences sévères. « Si une organisation — quel que soit son secteur ou sa taille — est victime d’une cyberattaque, les répercussions sont rarement limitées à des dommages financiers », explique-t-il. « La responsabilité des instances dirigeantes est presque toujours engagée. Les conseils d’administration et les équipes dirigeantes qui continuent de négliger la cybersécurité doivent en faire une priorité urgente. »
Tests d’intrusion « abordables pour toute entreprise de taille moyenne »
L’expert en sécurité souligne que les tests d’intrusion autonomes, délivrés en mode SaaS, sont désormais « abordables pour toute entreprise de taille moyenne ». « Les coûts évoluent en fonction du nombre de postes et de la taille du réseau », explique Nicolas Ippolito. Ce qui était autrefois réservé aux grands groupes est désormais accessible aux PME et ETI : la solution est simple à utiliser, sans recourir à des hackers externes. Ippolito rappelle aussi que le coût d’un pentest doit être mis en perspective des dommages potentiels d’une cyberattaque. Selon la Cour des comptes, l’impact financier moyen d’une attaque représente 5 à 10 % du chiffre d’affaires annuel, quelle que soit la taille ou le secteur de l’entreprise.
Tous les équipements connectés sont exposés
Au-delà du coût maîtrisé et de la simplicité d’usage, Nicolas Ippolito met en avant un autre atout majeur d’une plateforme de pentest SaaS : elle étend les tests au-delà des ordinateurs à l’ensemble des machines et dispositifs connectés. « Si des cybercriminels prennent le contrôle de caméras de sécurité sur un site industriel, c’est la sécurité de toute l’organisation qui est en jeu », avertit-il — rappelant que l’exigence de cyber-résilience dépasse largement les systèmes informatiques traditionnels.
Il souligne aussi l’urgence : le délai entre la découverte d’une vulnérabilité et son exploitation par des attaquants se réduit rapidement. Les entreprises ont donc de moins en moins de temps pour déterminer si leurs réseaux sont exposés. “Compte tenu de la complexité des environnements informatiques actuels, il est pratiquement impossible pour une organisation d’établir en temps utile si chaque nouvelle faille la concerne — sans parler des coûts considérables que cela implique”, explique Nicolas Ippolito.
L’IA, accélérateur des scénarios d’attaque
Les organisations de toutes tailles demeurent trop confiantes, avertit Nicolas Ippolito. La plupart des équipes informatiques manquent déjà de visibilité sur les nombreuses vulnérabilités potentielles de leurs réseaux. Ce n’est guère surprenant : les environnements se complexifient tandis que les attaques gagnent en rapidité et en sophistication.
Selon Nicolas Ippolito, un facteur accélère davantage que tout autre la cybercriminalité : l’intelligence artificielle. Des attaques complexes peuvent désormais être automatisées et menées avec un effort minime — non seulement par des acteurs étatiques, mais aussi par des groupes cybercriminels organisés. Ces méthodes s’appliquent dans tous les secteurs et peuvent rester indétectées longtemps, causant des dommages importants avant d’être repérées.
La plateforme autonome de tests d’intrusion NodeZero, pilotée par l’IA, a montré lors son utilisation chez des clients que les défenses d’entreprise peuvent souvent être contournées en quelques minutes. NodeZero intègre aussi des tactiques d’ingénierie sociale, exploitant les faiblesses humaines — par exemple lorsqu’un employé utilise le nom de son animal de compagnie comme mot de passe après l’avoir divulgué sur les réseaux sociaux. « Dans la plupart des cas, une seule faille suffit à donner aux attaquants l’accès à l’infrastructure numérique », met en garde Nicolas Ippolito.
Les scanners de vulnérabilités ne suffisent pas
La plupart des entreprises ont conscience de l’escalade de la menace, constate Nicolas Ippolito, mais beaucoup s’appuient encore sur des défenses inadéquates. « Il n’est pas rare que des organisations fassent coexister 20 à 40 outils de sécurité en parallèle, sans vraiment savoir comment ils interagissent, ni quelle est leur efficacité réelle », souligne-t-il.
Un angle mort fréquent est la dépendance aux scanners de vulnérabilités. Ils recensent de nombreuses failles et leur attribuent des notes de risque, mais ne mettent pas en évidence celles qui sont vraiment critiques pour une organisation donnée. « Aucune équipe informatique ne peut corriger chaque vulnérabilité divulguée au quotidien », insiste Nicolas Ippolito. L’essentiel, c’est la priorisation — se concentrer sur les faiblesses qui exposent réellement l’activité de l’entreprise. « Cette clarté ne vient qu’à travers des attaques simulées et systématiques de son propre environnement : c’est là que ressortent les failles qui comptent vraiment pour vous », conclut-il.
NodeZero est une marque d’Horizon3.ai.
