Ce que chaque DSI doit savoir sur les cyberattaques en 2024 : Décryptage du rapport ANSSI

Quelles menaces cyber ont marqué l’année 2024 ? Quels sont les enseignements concrets à en tirer pour les entreprises ? Comment renforcer efficacement la sécurité de son système d’information face à des attaques de plus en plus ciblées ?

Cet article décrypte pour vous les principales tendances de la cybermenace 2024, telles qu’analysées par l’ANSSI dans son dernier panorama. Vous y trouverez :

• Une synthèse claire des cybermenaces dominantes (rançongiciels, attaques par rebond, espionnage stratégique, sabotage, etc.).
• Des impacts concrets observés dans les entreprises et organisations.
• Des recommandations techniques et stratégiques, directement activables, pour renforcer votre posture de cybersécurité.

📌 Objectif : vous aider à anticiper, à vous préparer et à mettre en œuvre les bonnes pratiques face à un paysage cyber de plus en plus complexe.

 

Menaces majeures en 2024 selon l’ANSSI

L’année 2024 a été marquée par une intensification des menaces cyber, aussi bien en volume qu’en sophistication. Le Panorama de la cybermenace 2024 de l’ANSSI met en lumière trois axes d’attaques prédominants : les événements à fort impact médiatique, la persistance des rançongiciels, et la montée en puissance des actions de sabotage et d’espionnage. Voici les points saillants à retenir.

 

Grands événements sous pression : les JO 2024 en ligne de mire

Les Jeux Olympiques et Paralympiques de Paris ont représenté une opportunité majeure pour les attaquants en raison de leur visibilité mondiale et de leur complexité organisationnelle.

Types d’attaques observées :

• Tentatives de rançongiciel : notamment via BrainCipher (Grand Palais – RMN, août 2024,) et WhiteRabbit (Université Paris-Saclay, 11 août). (Source : Panorama de la cybermenace 2024 – ANSSI, CERTFR-2025-CTI-003, p. 7–8 et p. 31–32)
• Opérations de déstabilisation : attaques DDoS et campagnes de défiguration de sites menées par des groupes hacktivistes pro-russes et pro-palestiniens, pendant toute la période des JO. (Source : p.7-8)
• Espionnage ciblé : compromission d’une entité clé des JO, par un mode opératoire (MOA) chinois, positionné dès 2022. (Source : p. 8)

📌 Ces attaques n’ont pas perturbé le déroulement des épreuves, preuve de l’efficacité des dispositifs de protection, mais elles témoignent de la pression constante qui pèse sur les systèmes critiques.

 

Rançongiciels : une menace toujours massive

Les ransomwares restent le fléau numéro un pour les entreprises françaises. En 2024, l’ANSSI a recensé 144 incidents confirmés, un niveau similaire à 2023, avec une diversification des souches utilisées : LockBit 3.0 (15 %), RansomHub (7 %), Akira (7 %), BrainCipher, Lynx, Monti…(Source : p. 33)

Cibles principales :

• PME/ETI, collectivités locales, et de plus en plus établissements d’enseignement supérieur.
• Exploitation de failles connues mais non corrigées (ex. : équipements ESXi, Active Directory non durcis). Source : p. 31

Impact : Chiffrement de systèmes critiques, vol de données, ralentissement d’activité (ex : indisponibilité de services à l’Université Paris-Saclay durant la période d’inscription).

💡 Tendance forte : la double extorsion (chiffrement + menace de divulgation) devient la norme.

 

Espionnage, sabotage et déstabilisation : une menace géopolitique

Les attaques menées à des fins stratégiques ou politiques se sont multipliées. Elles émanent souvent de groupes étatiques ou affiliés, notamment russes, chinois ou iraniens, et visent à :

• Accéder à des données sensibles (ex : secteur des télécoms, institutions publiques).
• Préparer des opérations de sabotage via un pré-positionnement prolongé dans les SI critiques.
• Mener des campagnes de désinformation à grande échelle, notamment en période électorale ou de tension internationale.

 

Cas emblématique : Compromission du cœur de réseau mobile d’un opérateur télécom français, avec une présence détectée près de deux ans après l’intrusion initiale, démontrant un haut niveau de sophistication. (Source : page 43.)

 

Ce qu’il faut retenir

• La surface d’attaque ne cesse de s’élargir : événements mondiaux, prestataires et sous-traitants, systèmes techniques mal configurés, failles non corrigées.
• Les attaquants deviennent plus professionnels, plus silencieux, plus rapides. Plus industrialisés.
• Même des entités préparées peuvent être ciblées. Le temps de réaction et la maturité cyber font toute la différence, d’où l’importance d’une approche résiliente et continue.

 

🛠️ Dans la suite de cet article, nous vous expliquons comment adapter votre stratégie de cybersécurité aux nouvelles réalités de la menace 2024.

 

Moyens et outils utilisés par les attaquants en 2024

En 2024, les attaquants ont affiné leurs méthodes pour contourner les dispositifs de sécurité traditionnels. L’ANSSI met en lumière une industrialisation croissante des outils offensifs, une mutualisation des infrastructures malveillantes, et un recours massif à la chaîne d’approvisionnement comme vecteur d’intrusion. Voici les techniques clés observées cette année.

 

Chaîne d’approvisionnement : le talon d’Achille des entreprises

L’exploitation de prestataires ou de composants logiciels tiers est devenue une tactique de premier plan pour infiltrer des SI bien protégés.

Exemples concrets :

• Compromission d’un prestataire informatique étranger, permettant un rebond vers plusieurs entreprises françaises via des accès légitimes (source : p.19).
• Attaque de l’affilié Qilin via un accès RMM mal sécurisé, impactant une trentaine de clients (p.20).
• Cas emblématique : la compromission de XZ Utils, bibliothèque Linux, après 3 ans d’infiltration silencieuse (p.19).

💡 Les attaquants misent sur la confiance entre partenaires pour compromettre indirectement leur cible.

 

Exploitation des équipements de bordure de sécurité

Les pare-feux, passerelles VPN, WAF et appliances sont devenus des vecteurs privilégiés d’intrusion.

Faits marquants :

• CVE-2024-3400 (pare-feux Palo Alto) exploité de façon ciblée, parfois 2 mois après publication du correctif (p.12).
• CVE-2024-47575 (FortiManager) utilisé pour contourner des SI cloisonnés (p.11).
• Plusieurs cas où des failles sur des équipements périmétriques ont permis une prise de contrôle complète de domaines Active Directory (p.10–12).

💡 Ces failles sont souvent connues mais mal patchées : la réactivité est essentielle.

 

Infrastructures d’anonymisation mutualisées

Des botnets de machines compromises (routeurs, serveurs, VPN, proxies) sont utilisés pour masquer l’origine des attaques.

Réseaux observés :

• KV Botnet, ORBWEAVER, SPACEHOP : exploitent des équipements vulnérables pour déployer du trafic malveillant anonymisé (p.22–24).
• Ces réseaux sont parfois partagés entre plusieurs groupes, y compris étatiques et criminels.

💡 Difficiles à tracer, ces infrastructures permettent des attaques furtives et décentralisées.

 

Prépositionnement stratégique à long terme

Certains MOA (notamment russes et chinois) privilégient un pré-positionnement discret, dans un objectif capacitaire.

Cas illustratifs :

• Groupe Nobelium infiltrant des éditeurs de cybersécurité pour accéder aux outils défensifs utilisés par les entreprises occidentales (p.22–23).
• Présence prolongée sur des SI sensibles, non détectée pendant plusieurs mois, avec potentiel d’espionnage ou de sabotage (p.42–43).

💡 Le temps joue en faveur des attaquants : ils savent attendre le moment opportun pour frapper.

 

Mercenariat numérique et LIOP

Le marché de la Lutte Informatique Offensive Privée (LIOP) se développe avec des structures semi-légales opérant entre le cybercrime et la cybersurveillance.

Cas notable :

• I-SOON, société chinoise, mêlant développement d’outils offensifs et opérations commerciales de surveillance (p.27).
• Utilisation de techniques ADINT (Advertising Intelligence), notamment via les outils Alladin et Sherlock, pour la géolocalisation à grande échelle via publicités en ligne (p.25).

💡 La sophistication croissante des offres commerciales de cyberattaque doit être surveillée comme une nouvelle menace stratégique.

 

Convergence cybercriminelle / étatique

L’ANSSI constate une fusion des outils, techniques et infrastructures entre groupes à motivation financière et groupes liés à des États.

Observations clés :

• Usage commun d’outils comme Remcos, PlugX, DarkCrystal dans des contextes géopolitiques ou d’extorsion (p.24–25).
• Recyclage d’infrastructures d’un groupe à l’autre (ex : FBS utilisant d’anciens serveurs de Turla) (p.25).

💡 Cette hybridation rend la qualification des attaques (crime ou espionnage) de plus en plus floue.

 

Ce qu’il faut retenir : quelles attaques et quelles solutions de cybersécurité ?

Tendance 2024	Implications pour les entreprises
Chaînes d’approvisionnement ciblées	Renforcer la sécurité des partenaires et sous-traitants (audits, exigences contractuelles, monitoring partagé)
Failles sur équipements périmétriques	Implémenter un processus de patch management rigoureux, incluant la détection rapide des vulnérabilités
Réseaux d’anonymisation (Tor, VPNs malveillants)	Renforcer la surveillance réseau, intégrer des capacités avancées de threat hunting pour détecter les comportements anormaux
Pré-positionnement discret dans les système)	Déployer des audits réguliers, corréler les logs de différentes sources, segmenter strictement les accès
Acteurs hybrides (mercenariat / étatique)	Mettre à jour les règles de détection (SIEM, EDR), collaborer activement avec les CERT pour le partage de renseignement

 

➡️ Contactez-nous pour un audit flash, une revue de configuration, ou une mise en conformité rapide.

 

Failles fréquentes dans les systèmes d’information des entreprises

Les attaquants ne cherchent pas forcément à exploiter des failles complexes. Dans la majorité des cas, ils profitent de faiblesses techniques connues, mal corrigées, ou d’erreurs de configuration pour s’introduire dans les systèmes d’information. L’ANSSI recense plusieurs points de vulnérabilité majeurs régulièrement exploités en 2024.

 

Failles de sécurité sur les équipements périmétriques

Problème récurrent : absence de mise à jour, supervision insuffisante des assets exposés sur Internet.

Composants visés :

• Pare-feux (Palo Alto, Fortinet),
• Passerelles VPN,
• Appliances de sécurité mal mises à jour.

Exemples :

• CVE-2024-3400 (Palo Alto) : exploitée pour compromettre des SI sensibles plusieurs semaines après la publication du correctif (source : p.12).
• CVE-2024-47575 (Fortinet) : a permis une compromission à distance d’environnements de gestion réseau mal protégés (p.11).

 

Vulnérabilités dans Active Directory et gestion des comptes

L’Active Directory (AD), cœur de la gestion des identités, reste une porte d’entrée stratégique pour les attaquants. La robustesse de l’AD est souvent sous-estimée, alors qu’il constitue un maillon critique.

Failles observées :

• Comptes à privilèges mal segmentés ou laissés actifs.
• Absence de journalisation efficace.
• Protocole NTLM encore actif dans certains environnements.

Impact :

• Élévation de privilèges rapide après une compromission initiale.
• Latéralisation discrète sur tout le SI via scripts ou outils comme BloodHound (source : p.13–14).

 

Faiblesses dans la supervision et le monitoring

Plusieurs intrusions détectées en 2024 ont révélé une absence de détection pendant plusieurs mois.

Causes :

• Outils de supervision mal configurés.
• Absence de corrélation d’événements entre les logs réseau, applicatifs et systèmes.
• Pas de stratégie de threat hunting active.

Dans certains cas, des groupes APT ont été présents plus de 18 mois sans détection (ex : secteur télécom, p.42–43).

 

Mots de passe faibles et absence de MFA

Encore en 2024, les attaques par credential stuffing, phishing ou brute-force restent efficaces.

Constat :

• Utilisation de mots de passe réutilisés ou simples à deviner.
• Absence d’authentification multifactorielle (MFA) sur les accès critiques (VPN, consoles d’administration).
• Mauvaise gestion des comptes de service et des comptes techniques.

💡 Une politique de mots de passe robuste et l’activation du MFA peuvent bloquer jusqu’à 90 % des intrusions opportunistes.

 

Exposition non maîtrisée d’interfaces web

Des interfaces d’administration, systèmes SCADA ou consoles SaaS sont laissées exposées sur Internet sans filtrage IP ni authentification renforcée. Note : L’exposition accidentelle ou négligée est une porte d’entrée très courante, surtout dans les infrastructures industrielles et IT hybrides.

Cas réels :

• Stations de traitement des eaux ou microcentrales hydroélectriques exposées sans protection (source : p.37–38).
• Interfaces d’administration de sauvegardes ou de virtualisation accessibles publiquement.

 

Ce qu’il faut retenir : failles, risques et recommandations

Failles critiques	Risques associés	Recommandations
Équipements périmétriques non patchés	Intrusion initiale	Mise à jour automatisée, supervision des flux réseau
Active Directory mal segmenté	Mouvement latéral, élévation de privilèges	Hardening de l’AD, audits de configuration réguliers
Supervision insuffisante	Persistance prolongée de l’attaquant	Déploiement d’un SIEM, capacités de threat hunting, SOC réactif
MFA non déployé	Compromission via phishing ou vol de mot de passe	MFA obligatoire pour tous les accès critiques et sensibles
Interfaces exposées sur Internet	Accès direct non autorisé au SI	Revue régulière de la surface exposée, filtrage IP et durcissement

 

Comment savoir si mon entreprise est vulnérable aux cybermenaces ?

Voici quelques signaux à surveiller :

• Vous ne savez pas quelles interfaces de votre SI sont exposées sur Internet.
• Votre Active Directory n’a pas été audité récemment.
• Vous n’avez pas de MFA activé sur les accès sensibles (VPN, messagerie…).
  Vos sauvegardes ne sont pas testées régulièrement.
• Vous n’avez jamais réalisé d’audit cybersécurité ou de simulation d’attaque.

Un audit de vos SI peut vous fournir un état des lieux rapide, des priorités claires et des actions concrètes à lancer sans délai.

 

Recommandations concrètes pour les RSSI et DSI

Face à l’évolution rapide des cybermenaces en 2024, les responsables de la sécurité des systèmes d’information doivent adopter une approche proactive, structurée et résiliente. Voici les mesures clés préconisées par l’ANSSI, enrichies de bonnes pratiques à fort impact pour renforcer la sécurité des SI.

 

Durcissement des infrastructures critiques (Active Directory, VPN, périmètre réseau)

Actions prioritaires :

• Segmenter finement les droits dans Active Directory (principe du moindre privilège).
• Désactiver les protocoles obsolètes (NTLM, SMBv1, etc.).
• Restreindre les accès VPN par MFA + filtrage IP.
• Isoler les interfaces d’administration sur des réseaux dédiés et non exposés.

🛑 L’erreur courante est de durcir en surface mais laisser des failles d’administration invisibles.

Beaucoup d’organisations pensent être protégées parce qu’elles appliquent des mesures visibles ou faciles à cocher, mais laissent des failles critiques dans les couches profondes.

Exemple de durcissement en surface :

• Mettre un mot de passe fort sur l’interface VPN mais sans restreindre les adresses IP autorisées.
• Activer le MFA sur Office 365, mais pas sur les consoles d’administration internes.
• Installer un pare-feu, mais laisser les ports d’administration accessibles depuis Internet (RDP, SSH…).
• Chiffrer les postes utilisateurs mais ne pas protéger les clés de chiffrement.

Exemple de failles d’administration invisibles :

• Comptes à privilèges dormants, non surveillés (ex. : ancien admin laissé actif).
• Absence de segmentation réseau : un utilisateur compromis peut accéder à tout le SI.
• Console de sauvegarde exposée sans MFA ni audit des connexions.
• Scripts d’administration stockés en clair avec mots de passe dans des partages réseau.
• Accès en RDP à des serveurs critiques via comptes de service techniques non supervisés.

💡 Ce sont ces angles morts que les attaquants exploitent en priorité pour pivoter silencieusement dans le système, souvent sans déclencher d’alerte.

 

Mettre en place un cycle rigoureux de mise à jour (patch management)

Recommandations :

• Surveiller activement les bulletins CERT-FR, les CVE critiques et les alertes éditeurs (Fortinet, Palo Alto, Microsoft…).
• Mettre en œuvre un calendrier de patching mensuel, avec un mécanisme d’urgence pour les failles zero-day.
• Superviser les équipements exposés, en particulier les pare-feux, les passerelles VPN, les outils de supervision et d’administration.

🛑 Exemples concrets de failles critiques exploitées

CVE-2024-3400 – Palo Alto PAN-OS (pare-feu)

• Type de vulnérabilité : Command Injection non authentifiée dans l’interface GlobalProtect.
• Score CVSS : 10.0 (critique).
• Impact : un attaquant distant peut exécuter du code arbitraire avec les privilèges root, sans authentification.
• Contexte : affecte les équipements utilisant PAN-OS 10.2, 11.0 et 11.1.
• Cas d’exploitation :
  • L’ANSSI a observé plusieurs compromissions plus de 6 semaines après la publication du correctif, notamment chez des hébergeurs et des prestataires d’accès.
  • Utilisée par au moins un groupe affilié à un État pour infiltrer des environnements critiques (source : CERTFR-2025-CTI-003, p.12).

CVE-2024-47575 – Fortinet FortiManager / FortiAnalyzer

• Type de vulnérabilité : Authentification contournable dans le service fgfm (FortiGate to FortiManager).
• Score CVSS : 9.8 (critique).
• Impact : accès administratif sans authentification, exécution de commandes arbitraires sur l’appliance.
• Cas d’exploitation :
  • Des rapports font état d’une utilisation de cette faille dans des campagnes ciblées contre des prestataires IT et des infrastructures industrielles connectées.
  • L’ANSSI l’a identifié comme vecteur initial dans plusieurs incidents récents, faute d’application rapide du correctif (source : CERTFR-2025-CTI-003, p.11).

Ces deux exemples montrent que la simple existence d’un correctif ne suffit pas : c’est sa mise en œuvre rapide qui fait la différence entre une vulnérabilité et une brèche.

 

Déployer des solutions de détection avancée (EDR, SIEM, threat hunting)

Les attaques de 2024 ont montré que la capacité de détection est tout aussi essentielle que la prévention. De nombreux incidents traités par l’ANSSI n’auraient pas eu les mêmes conséquences si une détection en profondeur avait été en place.

Mesures à adopter :

• Mettre en place une surveillance continue des journaux système, réseau, antivirus, EDR, proxy, DNS, etc.
• Corréler les événements via une plateforme SIEM pour repérer des chaînes d’attaque (ex. : connexion anormale + exfiltration de données + création d’un compte admin).
• Déployer un EDR (Endpoint Detection & Response) sur les postes et serveurs critiques, pour détecter des comportements suspects (processus inconnus, mouvements latéraux, scripts malveillants…).
• Connecter un SOC ou CERT externe, capable de générer des alertes en temps réel, d’analyser des signaux faibles, et de déclencher une réponse coordonnée.

🛑 Objectif : réduire drastiquement le « dwell time » (durée de présence non détectée).

Le dwell time désigne le temps que met un attaquant à être détecté après avoir pénétré dans un système.

En 2024, ce délai dépasse encore 200 jours en moyenne dans les cas non supervisés, ce qui laisse largement le temps à l’attaquant de :

• se déplacer latéralement,
• installer des portes dérobées (backdoors),
• exfiltrer des données sensibles,
• ou encore compromettre les sauvegardes pour bloquer toute reprise.

Exemple réel (source : ANSSI)

• Dans le cas d’un opérateur télécom français, un groupe étatique a été présent pendant près de 2 ans dans le SI sans déclenchement d’alerte, en raison de l’absence de supervision centralisée (rapport CERTFR-2025-CTI-003, p.42).
• Ce n’est que lors d’un audit externe que la compromission a été découverte, avec des traces remontant à décembre 2022.

Une détection efficace permet de passer d’une compromission durable à une intrusion contenue, avec une réduction majeure des dégâts potentiels.

 

Sécuriser l’authentification et la gestion des identités

En 2024, l’usurpation d’identité reste l’un des modes d’entrée les plus répandus pour les cyberattaquants. Les attaques par phishing, credential stuffing (réutilisation de mots de passe volés), et escalade de privilèges sur des comptes mal protégés sont des vecteurs simples mais très efficaces.

Bonnes pratiques à mettre en œuvre :

• Activer le MFA (Multi-Factor Authentication) sur tous les services exposés (VPN, messagerie, consoles d’administration, cloud).
  • 🎯 Cela bloque la majorité des accès non autorisés même en cas de vol d’identifiants.
• Auditer régulièrement les comptes à privilèges (admin, root, service) :
  • Désactiver ceux non utilisés,
  • Suivre leur activité dans les logs (ex. : connexions en heures non ouvrées).
• Adopter une politique de mot de passe robuste :
  • Longueur ≥ 12 caractères, complexité élevée,
  • Rotation périodique avec stockage dans un gestionnaire sécurisé,
  • Surveillance proactive des fuites d’identifiants via des services comme Have I Been Pwned, Firefox Monitor, ou des SIEM intégrés.
• Utiliser des coffres-forts à mots de passe (type Bitwarden, KeePassXC, HashiCorp Vault) :
  • Pour les comptes techniques,
  • Pour éviter les fichiers de scripts ou Excel contenant des mots de passe en clair.

🛑 Le facteur humain reste la première faille exploitée. Une authentification forte réduit le risque de phishing et d’accès non autorisé.

La plupart des attaques initiales ne nécessitent ni 0-day ni grande sophistication : un identifiant volé ou un compte admin oublié suffit.

Exemples courants en 2024 (source : ANSSI – CERTFR-2025-CTI-003) :

• Compromission via compte de service technique utilisé sans MFA pour gérer une console de sauvegarde, exposée depuis un site distant.
• Phishing ciblé sur un compte de direction non supervisé, donnant accès à une messagerie puis au SI complet par élévation de privilège.

Renforcer la gestion des identités, c’est non seulement sécuriser l’accès, mais aussi limiter les mouvements latéraux dans le SI en cas de brèche initiale.

 

Anticiper l’incident : sauvegardes, PRA et réponse à incident

À implémenter :

• Sauvegardes régulières, offline et testées (3-2-1 rule : 3 copies, 2 supports, 1 hors ligne).
• Définir et tester un plan de reprise d’activité (PRA) et un plan de continuité (PCA).
• Mettre à jour un livre de réponse à incident (ou référentiel) : rôles, contacts, procédures.
• Simuler au moins une fois par an une cyberattaque sur l’infrastructure SI.

🛑 C’est la capacité à réagir vite et efficacement qui fait souvent la différence.

Exemple d’attaque : l’absence de PRA aggrave la crise

Dans un cas cité par l’ANSSI, une entreprise victime de ransomware n’a pas pu restaurer son SI car :

• les sauvegardes étaient stockées sur un NAS connecté à l’environnement chiffré,
• aucune procédure de restauration n’avait été formalisée,
• la relance des services a pris plus de 6 semaines (CERTFR-2025-CTI-003, p.32).

Les 3 erreurs les plus fréquentes :

• Sauvegardes sans déconnexion réseau → facilement chiffrables en cas d’attaque.
• Plans non testés ou obsolètes → inutiles le jour J.
• Répartition floue des responsabilités → pertes de temps critiques dans les premières heures.

 

Synthèse opérationnelle

Domaine	Action clé	Impact
Durcissement AD	Segmentation, audit régulier	Moins de latéralisation des attaques
Patch management	Patching automatisé et suivi des alertes CERT	Réduction du vecteur initial d’intrusion
Détection	Déploiement EDR + SIEM + alerting 24/7	Meilleure visibilité, réaction rapide
Authentification	MFA, politique de mots de passe forts	Blocage du phishing et limitation des rebonds
Résilience	PRA, sauvegardes, exercices de crise	Réduction du temps de crise et reprise rapide

 

Point de vue expert Castelis

À la lumière des constats de l’ANSSI, nos experts cybersécurité livrent leur analyse sur les grands enseignements de 2024 et partagent des clés de lecture concrètes pour mieux anticiper les attaques et bâtir une stratégie de sécurité solide et durable.

 

Ce que 2024 nous a appris

Le vrai tournant de 2024, c’est la banalisation des attaques complexes. Ce qui relevait hier des APTs étatiques devient accessible via des services ‘clé en main’ de cybermercenariat. Ce niveau de sophistication exige une montée en maturité rapide des entreprises, quelle que soit leur taille.

Les attaques ne ciblent plus uniquement les grandes structures. Les prestataires IT, PME industrielles ou établissements publics sont aujourd’hui au cœur des campagnes malveillantes, souvent en raison d’une surface d’attaque trop étendue ou d’un manque de visibilité sur leur propre exposition.

 

Trois erreurs que nous rencontrons encore trop souvent

1.  “Nos prestataires gèrent la sécurité pour nous”

❌ Externaliser ne veut pas dire se déresponsabiliser.

✅ Il est indispensable d’évaluer la sécurité de ses partenaires (revue de contrats, audits, clauses SSI).

 

2. “On n’a jamais été attaqués, donc c’est bon”

❌ L’absence d’incident ne garantit pas l’absence de compromission.

✅ Une détection active et une supervision continue sont indispensables.

 

3. “On fera un audit quand on aura le temps”

❌ Les audits après compromission coûtent dix fois plus cher.

✅ Un audit préventif permet d’identifier les angles morts avant qu’ils ne soient exploités.

 

La méthode Castelis pour renforcer la sécurité

Notre accompagnement repose sur une démarche en 3 temps, pensée pour s’adapter à la maturité de chaque organisation :

1. Cartographie des risques (techniques, métiers, partenaires).
2. Audit de configuration et de gouvernance (AD, VPN, MFA, supervision…).
3. Feuille de route de remédiation priorisée, avec plan d’action sur 30, 90, 180 jours selon vos sujets.

➡️ Résultat : une vision claire des priorités, un pilotage budgétaire précis et une réduction mesurable du risque.

 

📞 Contactez notre équipe pour en savoir plus ou planifier un diagnostic.

 

Conclusion et ressources utiles

La lecture du Panorama de la cybermenace 2024 de l’ANSSI met en évidence une réalité préoccupante : aucune organisation, quel que soit son secteur ou sa taille, n’est à l’abri. Les cyberattaquants exploitent autant des vulnérabilités techniques que des défaillances humaines ou organisationnelles.

Mais cette menace croissante est aussi l’occasion, pour les RSSI et DSI, de renforcer les fondations de leur sécurité informatique et d’adopter une approche structurée, proactive et adaptée aux nouveaux risques.

En synthèse :

• Les JO 2024 ont été un terrain d’expérimentation grandeur nature pour des groupes très organisés.
• Les rançongiciels et les attaques par rebond via les prestataires restent des vecteurs d’intrusion massifs.
• Des failles simples comme l’absence de MFA ou un AD mal segmenté sont encore largement exploitées.
  Des recommandations concrètes existent, et peuvent être mises en œuvre rapidement.

 

Ressources recommandées

• 🔗 Panorama de la cybermenace 2024 – Rapport complet ANSSI (PDF)
• 🔗 Bonnes pratiques en cas d’intrusion – ANSSI
• 🔗 Offre cybersécurité Castelis – Audit, supervision, remédiation
• Sécurité informatique et cybersécurité, audits de sécurité techniques et organisationnels, SOC externalisé, pentest
• Design, setup et transformation d’infrastructure Cloud, notamment migration cloud
• Services managés d’infrastructure : RUN Infogérance 24/7/365
• Performance des applications web
• Compliance et mise en conformité cloud
• FinOps gestion financière du cloud
• Régie à distance ou IT staff augmentation

 

Envie de passer à l’action ?

Notre équipe peut vous aider à prioriser vos mesures de sécurité dès aujourd’hui.

 

FAQ

Quelles sont les menaces informatiques les plus courantes en 2024 ?

Les plus courantes sont :

• les rançongiciels (ransomwares),
• les attaques via la chaîne d’approvisionnement (prestataires IT),
• l’exploitation de failles connues non corrigées,
• l’espionnage ciblé par des acteurs étatiques.

Ces menaces touchent tous les secteurs, des collectivités aux PME industrielles. Source : ANSSI – CERTFR-2025-CTI-003

 

Quelles failles sont le plus souvent exploitées par les attaquants ?

• Parmi les plus fréquentes :
• des pare-feux ou VPN non à jour,
• des Active Directory mal configurés,
• l’absence de MFA,
• des interfaces d’administration exposées sur Internet.

Des pratiques simples comme le patch management et l’authentification forte peuvent bloquer une majorité de tentatives.

 

Que recommande l’ANSSI pour renforcer la sécurité des SI ?

L’ANSSI préconise :

• un durcissement des systèmes critiques (AD, VPN, SI exposés),
• une détection active via EDR/SIEM,
• des sauvegardes offline et testées,
• et un plan de réponse à incident structuré.

Des guides techniques sont accessibles librement sur le site du CERT-FR.

 

Qui est visé en priorité par les cyberattaques ?

Selon le Panorama de la cybermenace 2024 publié par l’ANSSI, les principales cibles des cyberattaques sont :

• PME, TPE et ETI : elles représentent 37 % des victimes de rançongiciels connues de l’ANSSI.​
• Collectivités territoriales : 17 % des attaques recensées.​
• Établissements d’enseignement supérieur : 12 % des cas.​
• Entreprises stratégiques : également 12 % des incidents signalés.​

Ces attaques ont souvent des conséquences graves sur le fonctionnement, la réputation et la continuité d’activité des entités touchées.

(Source : Panorama de la cybermenace 2024 : mobilisation et vigilance face aux attaquants, cyber.gouv.fr. Publié le 11 Mars 2025, Mise à jour du 15 Avril 2025)

 

Pourquoi les PME sont-elles particulièrement vulnérables ?

Elles disposent souvent :

• de ressources limitées en cybersécurité,
• d’une exposition numérique non maîtrisée (cloud, SaaS, prestataires),
• d’un manque de supervision ou d’audits réguliers.

Les attaquants les ciblent car elles sont plus faciles à compromettre… et parfois servent de tremplin vers des cibles plus grandes.

 

Que propose Castelis pour améliorer la sécurité des entreprises ?

Castelis propose :

• des audits cybersécurité pour évaluer rapidement les points faibles,
• des plans de remédiation personnalisés et priorisés
• un accompagnement global : durcissement, supervision du SOC, réponses à incident.

📞 Nous vous aidons à passer d’un SI vulnérable à un SI résilient, avec une méthode concrète et priorisée.