Du récent Business Risk Survey organisé par la FEB et l’Ecole Royale Militaire, il ressort que les menaces numériques et les pannes de systèmes techniques représentent les principales préoccupations des chefs d’entreprise belges.
Telle est la réalité pour l’économie du numérique: ce ne sont pas les conflits géopolitiques ou les changement climatiques, mais bien les cyberattaques et les pannes techniques qui occupent la première place de l’analyse des risques pour les entreprises belges. Du Business Risk Survey 2025, présenté lors du forum ‘Be Prepared de la Fédération des Entreprises de Belgique (FEB), il apparaît que pas moins de 61 pour cent des chefs d’entreprise considèrent les cyberattaques comme la principal menace. Pour 57 pour cent d’entre eux, ce sont les pannes techniques qui représentent un grand danger. Les tensions commerciales et géopolitiques suivent à distance avec respectivement 39 et 35 pour cent.
L’illusion de l’attaque ciblée
Entre la crainte des cyberattaques et des pannes IT et le fait d’être réellement prêt à les affronter, il existe un imposant écart. Seuls 39 pour cent des entreprises disposent d’une procédure de gestion des risques perfectionnée, un pourcentage qui traduit malheureusement la vulnérabilité de notre tissu économique.
Une croyance tenace qui a été démystifiée durant le forum, c’est l’idée que les hackers ciblent spécifiquement une entreprise. Miguel De Bruycker, directeur général du Centre pour la Cybersécurité Belgique (CCB), a en effet insisté sur le fait que la réalité est nettement plus banale et automatisée. Les criminels scannent l’ensemble d’internet en quête de systèmes vulnérables. ‘Le point de départ n’est pas qui vous êtes, mais un système vulnérable exposé en ligne’, selon De Bruycker. Ce n’est qu’après qu’une faille est détectée et que cette information est traitée dans le web clandestin que le hacker s’intéresse à la valeur potentielle de la victime.
Cet opportunisme génère un flux constant d’incidents. Le CCB suppose que la moyenne actuelle d’une entreprise belge au moins qui est chaque jour la victime d’une cyberattaque réussie, est encore sous-évaluée. L’impact se limite en outre rarement à de pures pertes financières, car l’atteinte à la réputation et la paralysie opérationnelle pèsent souvent plus lourd.
L’effet pastèque
Malgré les milliards d’investissements consentis dans la sécurité, les facteurs humain et organisationnel demeurent les points faibles. De Bruycker a expliqué ce qu’il qualifie de ‘watermelon effect’ (effet pastèque): des rapports qui semblent verts à l’extérieur, mais qui rougissent dès qu’on examine les systèmes de plus près. Ce phénomène apparaît souvent, lorsque les départements IT veulent rassurer la direction sans nommer la triste réalité des systèmes désuets ou des procédures déficientes.
Un exemple concret de fausse sécurité est la mise en œuvre de l’authentification multi-facteur (MFA). Même si Microsoft affirme que 99 (!) pour cent des attaques peuvent être évitées grâce à cela, le CCB constate encore trop d’erreurs de configuration dans la pratique. ‘Nous avons vu cette année un cas où toute l’organisation a utilisé la MFA, à l’exception des administrateurs qui se connectaient par VPN avec seulement un mot de passe’, a expliqué De Bruycker. Lorsque ce mot de passe a été dérobé, les agresseurs ont toujours eu libre parcours sur l’ensemble du réseau.
Industrialisation de la cybercriminalité
Alors que les entreprises peinent à gérer leur sécurité de base, l’ennemi se professionnalise à une vitesse fulgurante. Lors de sa session à l’événement ‘Be Preparated’, María Riesco García, spécialiste en cybercriminalité chez Europol, a dressé le portrait d’organisations criminelles fonctionnant comme des multinationales classiques, avec des services RH et des helpdesks. L’époque du hacker solitaire occupant une pièce dans le grenier est révolue depuis longtemps. Aujourd’hui, on parle d’un écosystème ‘Crime-as-a-Service’, comme vous avez déjà pu assez souvent le lire dans Data News.
Mais la nature des attaques au ransomware continue, elle, d’évoluer. Alors qu’auparavant il ne s’agissait que de crypter les données, les criminels utilisent désormais déjà la triple extorsion, apprend-on. Si la victime refuse de payer la clé de décryptage, les hackers menacent de publier les données volées. ‘Dernièrement, nous avons même vu une troisième forme d’escroquerie, où les agresseurs prennent directement contact avec les clients et les fournisseurs de l’entreprise. Ils déclarent ensuite ouvertement à ces clients que leur fournisseur est peu fiable ou utilise des systèmes peu sécurisés pour augmenter la pression’, a expliqué García. De plus, les criminels utilisent de plus en plus l’intelligence artificielle. En Belgique, il existe déjà un cas où la voix d’un CEO a été imitée par l’IA pour forcer un paiement frauduleux, une évolution inquiétante qui rend l’ingénierie sociale encore plus efficiente.
Besoin d’un écosystème
En réaction à ces chiffres et tendances, la FEB plaide pour une plus grande collaboration entre les gouvernements, les fédérations et les entreprises. ‘Le temps est la valeur de toute crise’, déclare Pieter Timmermans, administrateur délégué de la FEB. L’idée que les entreprises puissent gagner cette bataille seules, est dépassée. Le CCB et Europol insistent tous deux sur l’importance du rapportage et de la collecte correcte des preuves numériques, plutôt que de simplement réinstaller les sauvegardes aussi vite que possible. Parce que ceux qui effacent les traces dans une réaction de panique, rendent l’enquête judiciaire impossible et laissent la porte ouverte à une nouvelle attaque.