Cybersécurité : Les PME et ETI sont de plus en plus vulnérables à la fraude au faux virement

4,34% : c'est le taux de sinistres relevé l'année dernière par Stoïk, start-up française d'assurance en cybersécurité pour les PME et ETI, sur son portefeuille d'assurés. La jeune pousse a publié ce 18 mars son rapport annuel sur la sinistralité, qui dresse un panorama des principales menaces cyber qui pèsent sur ses assurés. Elle s'est appuyée sur les sinistres déclarés par ses 5000 assurés du 1er janvier au 31 décembre 2024 en France, en Allemagne, en Autriche et à Monaco, gérés par le CERT qu'elle a développé en interne. Début 2025, Stoïk s'est également implantée en Espagne.

Entre 2023 et 2024, la fréquence des attaques de ransomware a diminué de 28%. Stoïk explique cette tendance par le démantèlement de l'infrastructure de certains gangs, comme LockBit, provoquant par la même occasion une baisse du montant moyen de la rançon. Ce type d'attaque reste néanmoins le plus redouté par les PME et ETI, en raison des coûts engendrés à la fois par la perte d'activité et pour la restauration des systèmes.

Une corrélation entre la rapidité de restauration et la sauvegarde des données

À ce titre, Stoïk observe une corrélation très nette entre la durée de réponse à incident pour les entreprises touchées et les procédures de sauvegarde mises en place en interne. “22% des victimes ont pu reprendre en moins de douze heures, note Vincent Nguyen, directeur Cybersécurité chez Stoïk. Toutes ces entreprises avaient une stratégie et un système de sauvegarde de qualité, à savoir une sauvegarde immuable en ligne, facile à relancer, et une copie déconnectée.” À l'inverse, seules 15% des entreprises dont le délai de restauration a pris plus d'une semaine étaient équipées de systèmes complets de sauvegarde.

“Dans la grande majorité des cas, les clients pensent avoir des sauvegardes sécurisées, car ils ont cette conviction avec leur prestataire ou leur DSI, ajoute Thomas Renaud, directeur général de Stoïk France. Pourtant, la plupart des entités, mêmes très matures, n'ont pas, sur la totalité de leur infrastructure, des sauvegardes de qualité.” La start-up préconise alors de réaliser au moins deux tests de sauvegarde intégrale par an. À noter que Stoïk déploie systématiquement, depuis avril, une offre d'EDR managés (MDR) pour les PME et ETI qui n'en seraient pas équipés. 672 alertes ont été traitées par ce MDR entre juillet et décembre, et aucun ransomware n'a été déclenché sur les périmètres couverts par le logiciel.

37% des cas de fraude ont eu lieu sans compromission technique du SI

L'assurtech observe une tendance plus inquiétante, qui se traduit par une forte croissance des cas de fraude au virement bancaire, représentant désormais 23% du total des incidents traités. Le montant détourné s'élève en moyenne à 54 800 euros par entreprise, avec une médiane à 15 700 euros – Stoïk proposant ses services aux petites PME comme aux grandes ETI jusqu'à un milliard d'euros de chiffre d'affaires. “Dans 34% des cas, ce n'était pas l'assuré qui était en faute, mais son client ou partenaire”, explique Vincent Nguyen. 

En outre, 37% des cas de fraude au virement se sont produits sans compromission technique du système d'information de l'assuré, à la suite d'un simple e-mail ou appel frauduleux. “Certains individus vont appeler les services comptables des organisations et se faire passer pour des services de recouvrement, poursuit le directeur Cybersécurité de Stoïk. Beaucoup tombent dans le panneau, transmettent leurs factures et des échanges de mail. Il suffit à l'attaquant de prendre la facture et mettre des informations bancaires pour s'insérer dans les échanges et remplacer l'assuré.” Les secteurs de l'hôtellerie (comptes Booking, notamment) et du commerce de gros sont particulièrement visés.

La publication de vulnérabilités en forte hausse

Les cas de compromission de messagerie constituent 30% des incidents relevés par l'assurtech. Les cybercriminels profitent surtout de failles humaines ou techniques sur ces systèmes pour dérober des données ou détourner des fonds (changement de RIB). Ils utilisent aussi des techniques dites de “rebond”, qui consistent à se servir de la messagerie pour obtenir des droits d'accès supplémentaires jusqu'à déployer un ransomware.

Les compromissions par vecteur technique représentent encore 30% des cas détectés par Stoïk, en légère hausse par rapport à l'année dernière en raison d'une “explosion du nombre de vulnérabilités publiées”. Trois failles 0-day ont eu des impacts significatifs, note la start-up, affectant des produits Fortinet (CVE-2024-21762), OpenSSH (CVE-2024-6387) et Ivanti (CVE-2024-22024).

De plus en plus de cas de triple-extorsion

Pour cette année 2025, Stoïk s'attend à une recrudescence des risques systémiques, avec de nouvelles méthodes employées par les cybercriminels. “On observe de plus en plus des cas de triple-extorsion, avec de la pression mise sur les partenaires ou clients de la victime initiale”, précise Vincent Nguyen. Le contexte géopolitique ambiant devrait en outre avoir un impact significatif sur l'évolution des menaces, tout comme la mise en place d'un cadre réglementaire renforcé (NIS2, DORA, etc.).