L’année 2020 a été marquée par une transformation numérique rapide et sans précédent pour de nombreuses organisations, qui ont adapté leurs activités pour permettre le travail à distance. Cette transformation a également entraîné une augmentation drastique des risques de cybersécurité pour de nombreuses organisations et une croissance significative du nombre de cyberattaques.
Afin de vous préparer à l’année à venir et aux risques qui continueront d’augmenter, voici quelques statistiques pertinentes à connaître pour 2021 :
Statistiques sur la cybersécurité des applications pour 2021
Plus de la moitié des vulnérabilités des applications web sont classées de haute gravité ou critiques – Les applications web sont devenues essentielles dans la vie quotidienne de chacun. Qu’il s’agisse d’effectuer des transactions bancaires, de commander dans un restaurant ou de collaborer sur un lieu de travail, il est indéniable qu’elles occupent désormais une place importante dans nos vies. Afin de conserver un avantage concurrentiel, les entreprises ajoutent constamment de nouvelles fonctionnalités et de nouvelles intégrations, ce qui accroît la complexité de ces applications. C’est pourquoi des vulnérabilités critiques et de grande gravité, souvent inconnues des équipes de développement, sont introduites dans l’application et peuvent avoir de graves répercussions lorsqu’elles sont exploitées par un pirate.
2/3 des attaques contre les applications web impliquent une injection SQL – Les attaques par injection SQL, l’un des principaux contrôles de sécurité abordés dans la norme OWASP, ciblent la base de données de l’application et tentent d’accéder à toutes les données stockées. Les vulnérabilités qui impliquent des injections SQL sont souvent critiques, car elles sont généralement accessibles sans nécessiter d’accès spécifique.
Les cyberattaques contre les applications web ont augmenté de 52 % en 2019 selon un rapport publié à la mi-2020 – Les pirates informatiques sont de plus en plus conscients des risques liés à l’utilisation croissante des applications web. Ils sont devenus l’un des principaux vecteurs d’attaque privilégiés par les pirates en raison de la quantité de données sensibles qu’ils traitent.
Plus de 20 % de toutes les cyberattaques en 2020 visaient des applications web – Près d’une cyberattaque sur quatre en 2020 visait une application web.
COVID-19 Statistiques sur la cybersécurité pour 2021
Les pirates informatiques profitent de la pandémie pour créer des scénarios convaincants, en combinant la peur et le sentiment d’urgence pour persuader les individus de télécharger des pièces jointes malveillantes ou de soumettre leurs informations d’identification sur une page web malveillante. Par exemple, certains courriels de phishing envoyés en mars 2020 se faisaient passer pour des gouvernements et prétendaient inviter les utilisateurs à participer à un essai de vaccin, en leur demandant de remplir un formulaire joint au courriel.
Plus de 30 % des organisations canadiennes ont constaté une augmentation sensible des cyberattaques pendant la pandémie – Selon une enquête menée par l’Autorité canadienne pour les enregistrements Internet (ACEI), plus de 30 % des organisations canadiennes ont été confrontées à une augmentation sensible des cyberattaques pendant la pandémie de COVID-19.
La majorité des entreprises canadiennes ont mis en place de nouvelles protections de cybersécurité directement en réponse à COVID-19 – Avec l’augmentation des cyberattaques en 2020, la plupart des organisations au Canada ont été forcées de mettre en place de nouvelles mesures de cybersécurité. En outre, l’adoption du travail à distance a entraîné des cyber-risques inattendus qui ont conduit les entreprises à mettre en place de nouvelles protections.
Les cyberattaques contre les banques ont augmenté de 238 % en raison du COVID-19 – Les banques ont été une cible privilégiée des pirates informatiques en 2020, car des millions de consommateurs ont modifié leurs habitudes bancaires et d’achat en raison des commandes à domicile, notamment avec une augmentation de 50 % des transactions en ligne au cours de la pandémie. L’objectif principal des attaquants est de voler des identifiants bancaires ou des informations sensibles qu’ils peuvent utiliser pour accéder à des fonds et les détourner.
Les attaques de ransomware ont augmenté de 148 % au plus fort de la p andémie – Compte tenu de l’augmentation du phishing, il n’est pas surprenant que les attaques de ransomware aient également augmenté de façon spectaculaire pendant la pandémie. Les logiciels malveillants cryptographiques sont généralement transmis par le biais de pièces jointes infectées, ce qui permet aux pirates d’infecter les postes de travail. Ce dernier est conçu pour exploiter les vulnérabilités afin de se propager sur l’ensemble d’un réseau et d’infecter le plus grand nombre d’appareils possible.
Selon l’ACEI, les gouvernements canadiens ont connu une augmentation de 20 % des incidents de cybersécurité en mai 2020 – De nombreux organismes gouvernementaux canadiens ont été confrontés à une augmentation des ransomwares et des attaques par hameçonnage en mai 2020, car beaucoup ont opté pour le travail à distance, ce qui a entraîné divers incidents de cybersécurité. Cette même tendance a été observée de l’autre côté de la frontière, de nombreux gouvernements locaux américains ayant déclaré l’état d’urgence à la suite d’attaques de ransomware.
Statistiques du Canada sur la cybersécurité pour 2021
80% des entreprises au Canada ont été touchées par une cyberattaque entre 2019 et 2020 – Selon une enquête menée par l’ACEI, seules 20% des entreprises canadiennes n’ont pas enregistré de cyberattaque entre 2019 et 2020.
30 % des organisations canadiennes touchées par une cyberattaque ont vu leur travail quotidien interrompu. – Du déni de service (DDoS) aux postes de travail cryptés par des ransomwares, près d’un tiers (1/3) des entreprises ont subi une perte de productivité et ont vu leurs activités quotidiennes affectées par une attaque, entraînant des retards pour leurs clients, des pertes de revenus et une montée en flèche des coûts de rétablissement technique.
45% des entreprises au Canada ont effectué un test d’intrusion en 2020 pour prévenir de futures cyberattaques. – Tests de pénétration ou les tests d’intrusion restent le moyen le plus efficace de protéger une organisation contre les cyberattaques, car ils permettent de reproduire une cyberattaque en suivant les mêmes étapes qu’un pirate informatique pour identifier les vulnérabilités susceptibles d’être exploitées. En outre, il classe par ordre de priorité leurs lacunes en matière de sécurité en fonction de leur niveau de risque et fournit des recommandations pour les aider à allouer efficacement leurs ressources aux mesures qui les protègent contre les cyberattaques.
41 % des organisations canadiennes prévoient d’effectuer des test d’intrusion pour atténuer leurs cyberrisques en 2020 et 2021 – Près de la moitié des entreprises prévoient d’intégrer les tests d’intrusion dans leur stratégie de gestion des risques pour l’année à venir. Nombre d’entre eux se heurtent à des obstacles ou ont du mal à justifier le retour sur investissement que cela représente pour leur entreprise, mais les avantages sont évidents. Par exemple, les startups ont des ressources limitées et investir dans un pentest peut sembler contre-intuitif, mais cela leur permettra de répondre à diverses exigences pour débloquer un partenariat commercial et, en retour, obtenir plus de ressources.
66 % des organisations au Canada détiennent des données sensibles de leurs clients, employés, fournisseurs, vendeurs ou partenaires. Cela explique pourquoi tant d’organisations investissent dans des mesures de cybersécurité, telles que les tests d’intrusion. Qu’il s’agisse de répondre aux exigences de leurs clients, de sécuriser des actifs sensibles ou de prévenir les pertes financières dues à la rotation des clients à la suite d’une violation de données, la mise en œuvre de protections solides en matière de cybersécurité est essentielle dans le monde numérique d’aujourd’hui.
Statistiques sur les violations de données pour 2021
71 % des violations de données sont motivées par des raisons financières – Un marché entier sur le dark web est consacré à la revente et à l’achat de données ayant fait l’objet d’une fuite à la suite d’une violation de données. Ces données sont souvent utilisées par des pirates pour se connecter au système critique d’une entreprise en essayant d’utiliser les identifiants de chaque employé qu’ils parviennent à trouver. Ce n’est pas une surprise pour la plupart des experts du secteur, car les statistiques ont montré que la cybercriminalité est plus rentable que les opérations combinées du trafic de drogue dans le monde.
20 % des violations de données sont motivées par le cyberespionnage – Selon le rapport annuel de Verizon, 20 % des violations de données sont motivées par le cyberespionnage, notamment l’espionnage d’entreprise.
43 % des violations de données en 2020 se sont produites par le biais d’applications web basées sur le cloud. – Avec la grande quantité de données sensibles stockées sur les applications web, les risques associés à la grande flexibilité des configurations sur les infrastructures en nuage (souvent mal configurées) et les vulnérabilités critiques de ces applications, celles-ci deviennent une cible privilégiée pour les attaquants.
25 % des violations de données en 2020 impliquent le phishing comme vecteur d’attaque – Quelle que soit la solidité des mesures de cybersécurité d’une entreprise, le phishing peut contourner un grand nombre de ces protections et les rendre inefficaces.
Statistiques sur la cybersécurité dans le secteur de la santé pour 2021
Les appareils médicaux présentent en moyenne 6 vulnérabilités qui ne peuvent être corrigées – La majorité des équipements médicaux reposent sur des systèmes d’exploitation obsolètes présentant de nombreuses vulnérabilités qui ne peuvent être atténuées, bien que ces risques puissent être réduits grâce à une segmentation adéquate du réseau et à des procédures rigoureuses.
62 % des administrateurs d’hôpitaux ne se sentent pas préparés à faire face aux cyberrisques – Étant donné que les hôpitaux dépensent 50 à 75 % de moins que les autres secteurs pour la cybersécurité, les administrateurs ne disposent pas des ressources nécessaires pour protéger leur infrastructure contre les cyberattaques.
24 % des employés du secteur de la santé n’ont jamais reçu de formation de sensibilisation à la cybersécurité – La majorité des incidents survenus dans le secteur de la santé sont dus à un manque de sensibilisation aux risques de cybersécurité. Les cyberattaques contre les hôpitaux sont si fréquentes que de nombreuses agences gouvernementales américaines, telles que le FBI et la CISA, ont récemment émis un avertissement commun concernant la menace imminente qu’elles représentent. Ces attaques résultent généralement de courriels de phishing sur lesquels un employé a cliqué, car un employé d’hôpital sur sept ouvrirait des courriels de phishing. Une récente attaque de ransomware contre un hôpital américain a contraint ce dernier à détourner des ambulances vers des hôpitaux voisins et à retarder des opérations chirurgicales après qu’un employé a cliqué sur une pièce jointe malveillante contenue dans un courrier électronique. Une sensibilisation approfondie à la cybersécurité est le moyen le plus efficace de prévenir ces incidents et de réduire considérablement le risque de cyberattaque au sein d’une organisation.