Hôpitaux et collectivités territoriales particulièrement visés
Votre (très intéressant) article traite essentiellement des cas de "outside hacking", c-à-d commis par des hackers n’ayant pas de contacts privilégiés avec l’organisation visée, et qui par conséquent doivent recourir à des techniques informatiques sophistiquées. Mais l’écrasante majorité des cas ne relèvent-ils pas de l’"inside hacking", c-à-d perpétrés via une personne interne à l’organisation visée, et qui transmet au hacker les informations suffisantes pour investir le système au moyen de techniques non sophistiquées (dans le cas le plus simple, une url et un mot de passe ad hoc) ?
Oui, les attaques sont souvent le fait d’attaquants internes à l’organisation. Mais ce n’est pas ultra-majoritaire. Et les mesures de précaution élémentaires rappelées ici valent pour les deux types d’attaques. Un attaquant interne aura bien sûr plus de possibilités, mais il prend aussi plus de risques, il devra être plus prudent.
Hors de l’espionnage, la plupart des piratages découverts et traités le sont parce-que destructifs comme le rançongiciel, ou objet de chantage public comme l’extorsion par vol de données.
Les piratages d’origine interne sont souvent des fraudes. Les fraudes ne bloquent pas l’activité. Je pense que la plupart de ces actions ne sont jamais découvertes.
Il existe des cas de sabotages, souvent liés à des conflits interpersonnels ou sociaux.
Mais ils atteignent rarement le seuil de destruction des attaques rançongiciel.
Une raison est simplement le manque de compétences. Un attaquant pro moderne a le niveau d’un pentesteur ou équivalent.
Les compétences et l’outillage sont échangés, cultivés dans des communautés criminelles en ligne (souvent russophones mais pas uniquement). Le niveau requis n’est pas énorme, mais il s’improvise mal.