Cybersécurité : pourquoi les hackers adorent l’été (et comment protéger votre entreprise au mois d’août)

Triste constat : dans de nombreuses entreprises, la cybersécurité ressemble un peu à une porte entrouverte durant l’été. Et alors que les braves et honnêtes travailleurs profitent de leurs vacances, les hackers, eux, sont en pleine activité… Un combo parfait pour les cyberattaques ! Pourquoi les pirates informatiques raffolent-ils de cette période ? Et surtout, comment éviter que votre entreprise ne devienne leur cible en août ? On vous dit tout dans notre article.

L’été, la saison de tous les dangers côté cybersécurité

Le saviez-vous ? Selon les rapports de plusieurs agences de sécurité et d’entreprises spécialisées dans la lutte contre les cybermenaces, le nombre de cyberattaques dirigées contre les entreprises explose durant l’été. Parmi eux, citons notamment le rapport 2024 de CybelAngel, qui enregistre une hausse de 30 % des attaques durant la période estivale (juillet-août).

Pourquoi les hackers intensifient-ils leurs attaques pendant l’été au lieu de paresser sur la plage ?

Parce qu’ils misent sur un trio gagnant (pour eux, pas pour vous) :

• une vigilance en chute libre, vos collaborateurs ayant déjà un pied en vacances ;
• des effectifs réduits, limitant les échanges et les vérifications entre collègues. Un mail douteux a ainsi plus de chances de faire une victime durant le mois d’août, par exemple ;
• l’absence des experts IT et cybersécurité, qui profitent à juste titre de leurs congés… Même si cela implique, malheureusement, que les systèmes soient moins surveillés et que les réactions soient plus lentes en cas d’attaque.

« Les informaticiens sont plutôt en vacances et les utilisateurs ne sont pas là ou ont des réflexes moins affûtés et sont donc moins vigilants, parce que tout le monde se détend, c’est les vacances. Quand on est en période active, c’est-à-dire durant l’année, on va au travail le matin et le soir, quand on voit une pièce jointe ou un mail bizarre, on en parle à ses collègues, on appelle le service informatique. On demande de l’aide pour comprendre et ne pas appuyer sur le bouton pour faire la bêtise. »

Source : Vincent Balouet, fondateur de MaitrisedesCrises,
dans le reportage d’Europe1 « Les hackers profitent des vacances pour s’infiltrer dans vos ordinateurs », août 2022.

La surcharge de travail, également en cause dans l’augmentation des risques cyber ?

On y pense moins, car l’activité de nombreuses entreprises « ronronne » en été. Mais ce n’est pas le cas pour toutes ! En fonction du secteur (ex. : tourisme, commerce, services d’urgence), il peut même s’agir d’une période particulièrement intense.

Il peut aussi arriver qu’une grosse commande imprévue pousse les salariés présents à se démener, alors que leurs collaborateurs sont déjà partis en vacances.

Résultat : la pression monte, la vigilance baisse. Et dans cette course à la productivité, certaines règles de cybersécurité passent à la trappe. En effet, face à un mail douteux ou une alerte système, l’arbitrage est souvent rapide : « On verra ça plus tard, là, il faut livrer. »

Dans le même ordre d’idées, les sauvegardes et les mises à jour des différents logiciels, pourtant essentielles pour réduire les risques, sont souvent reportées à plus tard durant cette période de rush. Mais les hackers, eux, n’attendent pas !

Est-ce que les petites entreprises peuvent aussi être touchées par une cyberattaque en été ?

Hélas, oui. Contrairement à une idée reçue, aucune structure n’est trop petite, trop locale ou trop « peu intéressante » pour les cybercriminels. Les TPE et les PME font ainsi partie de leurs cibles régulières. Certes, ils ne peuvent pas leur soutirer autant d’argent qu’à un grand groupe. Mais, d’un autre côté, elles sont beaucoup plus simples à attaquer, leurs lignes de défense étant peu perfectionnées. Soit faute de budget, soit parce qu’elles pensent sincèrement qu’elles n’ont pas grand-chose à craindre…

62 % des TPE-PME pensent être faiblement exposées aux risques de cyberattaques en France.

Source : étude ImpactCyber 2024, lancée par
Cybermalveillance.gouv.fr, le Club EBIOS, la CPME (Confédération des petites et moyennes entreprises), le MEDEF (Mouvement des entreprises de France) et l’U2P (Union des entreprises de proximité)

Malheureusement, les hackers n’ont aucun scrupule à attaquer une « proie facile », aussi petite soit-elle. Quitte à ce que leur attaque la mette dans le rouge financièrement Ou la pousse même à mettre la clé sous la porte.

C’est pourquoi le site gouvernemental Cybermalveillance.gouv.fr met régulièrement en garde les TPE et PME françaises contre leurs méfaits. Il a même lancé une campagne vidéo sur le sujet, avec plusieurs témoignages instructifs. Nous vous invitons notamment à visionner la vidéo sur le cas d’Antoine, un fromager à la tête d’une PME de 50 salariés. Prise au piège par un rançongiciel, son entreprise est restée complètement hors service pendant plus d’un mois. Ce qui a poussé ses clients à se fournir ailleurs…

Mais ce n’est qu’un témoignage parmi d’autres. On pourrait aussi bien citer la mésaventure de Sam, victime d’une attaque de phishing. Suite à la maladresse de l’un de ses employés, la boîte mail de sa TPE a été piratée. Ce qui a permis au hacker de piéger facilement ses clients…

Cybersécurité : quelles sont les attaques dont vous devez vous méfier le plus en été ?

En période estivale, les cybercriminels ne changent pas forcément d’outils. Mais ils savent profiter du contexte pour maximiser leur impact.

La menace la plus fréquente à cette période est donc le phishing (ou hameçonnage). À comprendre : l’envoi de mails frauduleux se faisant passer pour un service connu, un collègue ou même un client. Les collaborateurs étant souvent moins vigilants en été, les « clics malheureux » sur des liens dangereux sont plus fréquents.

Viennent ensuite :

• les rançongiciels (ou ransomwares). Ce sont les fameux logiciels malveillants qui chiffrent vos données contre rançon, dont on entend tant parler dans les médias. Une fois lancés, ils peuvent se propager très vite. Et en l’absence d’équipe technique complète, le délai de réaction peut être fatal ;
• l’exploitation de failles non corrigées. Les hackers savent très bien que certains systèmes ne sont pas mis à jour durant l’été. Ils scannent donc activement les réseaux pour trouver ces portes entrouvertes ;
• les attaques sur les accès à distance, car de plus en plus de salariés télétravaillent en été, en France ou depuis l’étranger. VPN mal sécurisés, connexions depuis des appareils personnels ou des lieux publics… Autant de points d’entrée vulnérables.

Méfiez-vous aussi des deepfakes

Le deepfake, c’est la nouvelle menace de cybersécurité majeure contre les entreprises. En pleine explosion, ces manipulations audio ou vidéo réalisées grâce à l’IA permettent aux cybercriminels d’usurper l’identité de dirigeants, collègues ou partenaires pour demander des transferts d’argent ou divulguer des informations sensibles. Terriblement efficaces, ces arnaques sont encore plus difficiles à détecter en été, avec des équipes réduites et moins attentives.

Pour mieux comprendre ce phénomène et savoir comment en protéger votre entreprise, nous vous invitons à consulter notre article précédent consacré aux deepfakes.

Que faire pour assurer votre cybersécurité en été ?

Sécurisez les accès à distance et les outils de télétravail estivaux

Vous autorisez vos collaborateurs à télétravailler durant l’été ? Dans l’absolu, c’est plutôt une bonne décision, car pouvoir travailler à distance quand on le souhaite améliore la QVCT (Qualité de vie et des conditions de travail).

En revanche, il est essentiel de sécuriser les connexions à distance. Pour cela, l’utilisation d’un VPN (Virtual Private Network, ou réseau privé virtuel) s’impose comme une solution efficace. Facile à installer sur un ordinateur portable, une tablette ou même un smartphone, un VPN crée un tunnel sécurisé entre l’appareil et le réseau de l’entreprise. Toutes les données qui y transitent sont chiffrées, rendant leur interception beaucoup plus difficile pour les hackers. Voire impossible !

En complément du VPN, nous vous recommandons aussi :

• de protéger l’accès à vos données par une authentification forte de type MFA (Multi-Factor Authentication). Celle-ci exige au moins deux facteurs d’identification distincts (ex. : mot de passe, utilisation d’une clé USB de sécurité, code reçu par SMS ou via une app comme Google Authenticator, donnée biométrique comme une empreinte digitale) ;
• d’interdire strictement les connexions depuis des Wi-Fi publics non sécurisés ;
• de bien expliquer à vos collaborateurs qu’ils doivent utiliser les appareils professionnels configurés par vos équipes IT pour télétravailler. En aucun cas leurs appareils personnels, sauf cas de force majeure.

Conseil bonus : comment choisir un VPN fiable pour votre entreprise ?

En 2025, il existe déjà un très grand nombre de VPN sur le marché. Hélas, ils ne se valent pas tous. Voici donc quelques critères essentiels à prendre en compte pour faire le bon choix :

• optez de préférence pour un fournisseur réputé. En privilégiant les VPN connus du marché, avec des avis vérifiables, une bonne ancienneté et une politique de transparence sur la sécurité, vous limitez grandement les risques d’acquérir un faux VPN. Si, si, les VPN de pacotille conçus par des hackers pour espionner vos données existent bel et bien… Plus vicieux encore : certains pirates informatiques ont déjà imité pratiquement à la perfection des VPN populaires pour mieux infecter les entreprises. D’où la nécessité de vérifier soigneusement le site à partir duquel vous téléchargez le logiciel ;
• évitez les VPN gratuits, même s’ils sont tentants. En règle générale, cela cache un modèle économique basé sur la revente des données ou une sécurité insuffisante ;
• vérifiez le chiffrement utilisé. Concrètement, un VPN professionnel doit proposer un chiffrement fort, de type AES 256 bits, ainsi qu’un protocole sécurisé (OpenVPN, WireGuard, IKEv2…);
• assurez-vous de l’absence de journalisation (no-log). En effet, pour garantir la confidentialité, votre VPN ne doit pas conserver d’historique de navigation ;
• vérifiez la compatibilité du VPN avec vos propres outils. Il doit pouvoir fonctionner sans problème avec vos systèmes, outils collaboratifs, services cloud ou logiciels métiers ;
• jetez aussi un œil sur les fonctions avancées. Kill switch (coupure automatique de la connexion en cas de faille), double VPN, authentification multifactorielle : autant d’atout en contexte professionnel. Mais elles ont un prix… A méditer selon votre budget !

Au besoin, vous pouvez aussi vous appuyer sur des guides comparatifs pour bien choisir votre VPN !

Anticipez les failles de sécurité liées au manque d’effectifs durant l’été

Est-ce que vos équipes (y compris vos experts en IT) ont le droit de prendre des vacances au mois d’août ? Oui. Est-ce une raison pour laisser la porte grande ouverte aux hackers ? Non.

Pour améliorer votre cybersécurité durant l’été, adaptez donc votre organisation en tenant compte des absences de chacun.

Mettez en place un protocole clair, en déléguant au besoin des responsabilités à des référents provisoires. Qui gère les alertes en cas d’incident durant les vacances du responsable cybersécurité ? Qui reste en veille sur les systèmes critiques ? Vous devez tout anticiper pour limiter au maximum les risques !

D’ailleurs, il serait également judicieux de :

• faire un audit rapide de votre système pour détecter d’éventuelles failles de sécurité informatique AVANT les congés des équipes IT ;
• vous assurer également que toutes les mises à jour logicielles ont été effectuées, notamment sur les postes sensibles et les serveurs, avant leur départ en vacances.

N’oubliez pas : en période de sous-effectif, chaque oubli technique peut se transformer en brèche exploitable.

Sensibilisez tous vos collaborateurs aux risques de cyberattaque durant la période estivale

Vous avez déjà formé vos équipes au B.A.-ba de la cybersécurité ? C’est très bien : des comptables jusqu’aux chargés de communication, tous les membres de vos équipes doivent connaître un minimum de bonnes pratiques pour bien protéger votre entreprise. Cependant, une piqûre de rappel est nécessaire pendant l’été pour limiter au maximum les risques d’erreur humaine.

Compte tenu de la fréquence des tentatives de phishing en cette saison, prenez au moins le temps de rappeler à vos collaborateurs les bons réflexes suivants :

• ne jamais ouvrir une pièce jointe douteuse ;
• vérifier les expéditeurs (ex. : est-ce que l’adresse mail de tel ou tel fournisseur est vraiment exactement la même que d’habitude ?) ;
• signaler tout comportement suspect à la personne référente.

Tout en leur rappelant qu’ils doivent vraiment redoubler de vigilance en cette saison, car les hackers sont tous sur le pont !

Et si vous faisiez de cet été un levier de protection durable ?

Vos équipes n’ont encore jamais été initiées aux bons réflexes cyber ? Dans ce cas, il va vous falloir bien plus qu’une simple piqûre de rappel pour renforcer votre cybersécurité cet été. Pourquoi ne pas opter pour cette formation d’initiation à la cybersécurité par exemple ? Bons réflexes anti-phishing, règles de sécurité concernant la création et la gestion des mots de passe, pièges à éviter sur les réseaux sociaux ou durant les paiements en ligne, bonnes pratiques à respecter en déplacement… Grâce à elle, ils maîtriseront les principales bonnes pratiques pour déjouer les tentatives des hackers.

Cerise sur le gâteau : ils peuvent même suivre cette formation au plein cœur de l’été. En effet, comme elle se déroule 100 % en ligne, elle est ouverte toute l’année : pas besoin d’attendre une date particulière pour l’intégrer.

Cela étant dit, pour former un véritable expert cybersécurité, il faut des formations bien plus poussées. Comme cet Executive Mastère Management de la Cybersécurité, lui aussi en e-learning.

Envie d’en savoir plus sur les manières de financer ces formations ? Dans ce cas, pensez à consulter notre espace dédié aux dispositifs de financement. Du CPF (Compte Personnel de Formation) jusqu’au FNE (Fonds National Emploi), il centralise toutes les informations essentielles sur les différentes solutions de financement.

Au besoin, n’hésitez pas également à poser directement vos questions à nos conseillers. Ils seront ravis de vous orienter vers nos formations plus adaptées à votre activité et à vos enjeux de sécurité.