Cybersécurité en Europe : les ransomwares explosent, les experts manquent

Le cyber-risque monte d’un cran en Europe, et pas juste dans les slides des cabinets de conseil. Ransomwares qui se multiplient, phishing dopé à l’automatisation, attaques par email qui explosent, et des entreprises qui découvrent qu’elles dépendent de trois prestataires pour faire tourner la boutique. Tu peux augmenter le budget, si personne n’est capable d’exécuter derrière, ça reste du papier.

Le tableau est assez clair: l’Europe voit encore une hausse des attaques, pendant que les équipes sécurité tirent la langue. Dans un gros panel d’organisations soumises à NIS 2, une majorité dit manquer de ressources, et les chiffres sur le recrutement font mal. Le truc, c’est que la menace avance plus vite que les cycles de décision internes. Résultat: le risque devient un sujet de direction générale, pas juste un ticket IT.

Ransomware et phishing: la hausse qui ne décroche pas

Sur le front des attaques, l’Europe n’est pas la région la plus pilonnée, mais la tendance est mauvaise. Des analyses récentes parlent d’une hausse de 4% des attaques hebdomadaires par organisation sur le continent. Ce chiffre peut paraître « modéré », sauf que la dynamique est tirée par les ransomwares, et là, ça tape plus fort. Une enquête signale par exemple +48% sur un mois d’observation.

Le quotidien des boîtes, c’est surtout l’email. Des acteurs qui analysent des volumes massifs de messages parlent d’emails contenant des malwares en hausse de 131% sur un an, avec en parallèle une progression des arnaques (+35%) et du phishing (+21%). Tu vois le tableau: tu peux blinder ton périmètre, si un salarié clique sur une pièce jointe bien imitée, tu te retrouves à courir derrière.

Ce qui change, c’est l’industrialisation. Le phishing piloté par l’IA, les outils automatisés, et le ransomware-as-a-service abaissent le niveau d’entrée. Avant, il fallait une équipe solide. Maintenant, des groupes peuvent louer des briques, copier des scénarios, et lancer des campagnes à la chaîne. Et comme la motivation est souvent financière, les cibles se multiplient: industrie, santé, services, collectivités, tout le monde y passe.

Nuance quand même: l’Europe n’est pas « sans défense ». Les entreprises investissent, les exigences réglementaires montent, et la prise de conscience est réelle. Mais la courbe d’attaque ne baisse pas, et c’est ça le problème. Quand tu as des attaques plus nombreuses et plus accessibles, tu finis par te dire que l’incident n’est plus un événement exceptionnel. C’est un risque opérationnel permanent, au même titre qu’une panne électrique.

NIS 2, patching lent: le décalage entre règles et terrain

Les régulations poussent fort, et NIS 2 est devenue le cadre qui structure pas mal de discussions en entreprise. Un gros travail d’analyse s’appuie sur un questionnaire adressé à plus de 1000 organisations concernées, dans des secteurs critiques comme l’énergie, les transports, les infrastructures numériques ou la santé. Sur le papier, ça donne une feuille de route. Sur le terrain, ça met surtout en lumière des fragilités très concrètes.

Parmi les lenteurs qui reviennent, tu as le patching. C’est basique, ce n’est pas sexy, mais c’est là que beaucoup se font avoir. Les vulnérabilités connues restent ouvertes parce que les cycles de validation sont longs, parce que les applis sont anciennes, ou parce qu’on a peur de casser la production. Sauf que les attaquants, eux, n’attendent pas la prochaine fenêtre de maintenance. Ils scannent, ils trouvent, ils rentrent.

Autre point qui remonte: la dépendance aux fournisseurs. Beaucoup d’organisations découvrent qu’elles ont externalisé des morceaux critiques, parfois sans visibilité fine sur les risques. Et quand le prestataire a lui-même un souci, tu prends la vague. Ce n’est pas juste un sujet de contrat, c’est un sujet d’architecture et de gouvernance. Qui a accès à quoi, comment on segmente, comment on révoque, qui surveille, qui alerte.

Le piège, c’est de croire que la conformité suffit. Cocher des cases aide, mais ça ne remplace pas une capacité opérationnelle: détecter vite, isoler, restaurer, communiquer. NIS 2 pousse à formaliser, tant mieux. Mais si tu n’as pas les équipes pour faire vivre les procédures, tu te retrouves avec un classeur de politiques et une entreprise quand même vulnérable. Et le jour où ça tombe, personne ne lit le classeur.

La pénurie de talents plombe les budgets cyber

Les budgets cybersécurité montent, c’est documenté. Progression de la moyenne et de la médiane, signe que le sujet est pris au sérieux. Sauf que l’argent ne se transforme pas tout seul en protection. Le frein numéro un, c’est l’humain. Dans les organisations interrogées, 76% disent avoir du mal à attirer des pros de la cybersécurité, et 71% peinent à les retenir. Tu peux proposer une prime, le marché reste tendu.

Et quand tu regardes les effectifs, tu comprends le décalage. La médiane annoncée tourne autour de 25 spécialistes en France, 32 en Allemagne, 29 aux Pays-Bas. Ce n’est pas ridicule, mais rapporté à des groupes de plusieurs milliers de salariés, avec des systèmes partout, c’est léger. Le ratio entre effectifs cyber et effectifs IT dépasse rarement 10 à 12%. Et encore, dans l’IT, tout le monde n’est pas mobilisable sur la sécurité.

Dans une grande boîte, ça donne des arbitrages absurdes. Tu as le budget pour un outil EDR, un SIEM, une plateforme de gestion des identités, mais tu n’as pas assez de monde pour l’exploiter correctement. Du coup, tu accumules des alertes, tu règles des faux positifs, et tu rates le signal faible. Marc, RSSI dans un groupe industriel, me disait récemment: « On a des licences, mais pas les bras. On achète du temps qu’on n’a pas. »

Le risque, c’est aussi l’usure. Les équipes sécurité vivent en mode incident, avec des astreintes, des audits, des projets, et des demandes internes qui tombent en permanence. Quand tu perds tes seniors, tu perds la mémoire de tes systèmes et tes réflexes de crise. Et ça, aucune ligne budgétaire ne le compense vite. La montée en compétence prend des mois, parfois des années, pendant que les attaquants, eux, itèrent toutes les semaines.

Tiers, cloud, concentration: la chaîne d’approvisionnement en première ligne

Le risque fournisseur n’est plus un sujet de juristes, c’est devenu un sujet de survie. Des grandes entreprises disent à 65% que les risques liés aux tiers et aux chaînes d’approvisionnement sont leur plus gros obstacle à la cyberrésilience, contre 54% l’année précédente. La progression est brutale. Et ce n’est pas juste « mes prestas font n’importe quoi ». C’est aussi la concentration: tout le monde utilise les mêmes briques, les mêmes clouds, les mêmes opérateurs.

Quand un grand fournisseur de services cloud ou un acteur d’accès Internet a un incident, les effets se propagent. Tu peux avoir une entreprise très mature en interne et te retrouver paralysé parce qu’un service externe tombe, ou parce qu’une dépendance partagée devient un point de rupture. Le scénario classique: authentification externalisée, outils métiers SaaS, supervision hébergée. Si l’un des maillons casse, tu perds de la visibilité pile au mauvais moment.

Dans la pratique, ça oblige à revoir des basiques. Cartographier les dépendances réelles, pas juste les contrats. Segmenter les accès des prestataires, limiter les droits, tracer les actions, imposer du MFA partout où c’est possible. Et surtout préparer l’après: comment tu continues à produire si un fournisseur critique est indisponible 24 ou 48 heures. Beaucoup de plans de continuité ont été écrits pour des pannes internes, pas pour une défaillance en cascade de l’écosystème.

Critique nécessaire: certaines boîtes découvrent le sujet uniquement quand l’assureur ou l’auditeur le demande. Mauvais réflexe. La gestion des tiers, ça se pilote en continu, et ça coûte du temps. Tu dois parler avec les achats, le juridique, l’IT, les métiers. C’est lent, c’est politique, et ça crée des frictions. Mais si tu ne le fais pas, tu laisses une porte ouverte qui n’est même pas dans ton bâtiment.

Fraude, PME mal préparées: les dégâts concrets sur le business

Quand on parle cyber, tout le monde pense ransomware. Sauf que la fraude et le phishing passent devant dans les préoccupations de pas mal de dirigeants. Et ce n’est pas une peur abstraite: une large majorité de personnes interrogées dans une publication internationale explique avoir été directement touchée, ou connaître quelqu’un qui l’a été, sur l’année écoulée. Le cyber, ce n’est plus « un risque IT », c’est un risque de trésorerie et de réputation.

Sur la partie France, un constat fait mal: 16% des TPE et PME interrogées disent avoir subi un ou plusieurs incidents sur les 12 derniers mois, et 80% ne sont pas préparées. Tu n’as pas besoin d’un scénario hollywoodien. Une boîte qui se fait piéger par une fausse demande de virement, un compte mail compromis, ou un poste chiffré, ça suffit à bloquer la facturation, la paie, la relation client. Et derrière, c’est le dirigeant qui encaisse.

Les grandes entreprises ne sont pas épargnées, mais elles ont plus de filets. Des données de défense numérique indiquent qu’en Europe, 6,1% des clients d’un grand éditeur sont touchés par une activité cyber, et que dans 80% des incidents analysés, les attaquants cherchaient à voler des données, motivés par l’argent. Vol de données clients, dossiers RH, secrets de fabrication, tout peut devenir une monnaie d’échange ou un levier de chantage.

Et puis il y a la couche géopolitique. Une majorité d’entreprises intègrent désormais des attaques à motivation géopolitique dans leur stratégie de risque, et les plus grandes ajustent leur posture en conséquence. Ça ne veut pas dire que tout le monde est une cible d’État, mais que l’environnement est plus tendu, plus opportuniste. Tu peux être un dommage collatéral. Et si ton pays ou ton secteur gère mal un incident majeur, tu prends la vague avec les autres.