Quand les entreprises baissent la garde, les attaquants passent à l’offensive.
L’été, haute saison des cyberattaques : les entreprises sont-elles vraiment prêtes ?

Chaque année, le même schéma se répète. Les bureaux se vident, les équipes tournent en effectifs réduits, les « out of office » s'empilent dans les boîtes mail. Pour les collaborateurs, c'est le temps du repos bien mérité. Pour les cybercriminels, c'est le coup d'envoi de la haute saison.
Ce n'est pas un hasard si les cyberattaques les plus dévastatrices surviennent régulièrement pendant les périodes estivales. Les pirates informatiques ne prennent pas de vacances. Ils les attendent. Et ce constat, que je fais mission après mission depuis plus dix ans, repose sur une réalité simple : l'été réunit toutes les conditions d'un coup de chaud pour la sécurité des systèmes d'information.
Un contexte d'autant plus préoccupant que, selon le World Economic Forum, chiffre repris par la DGSI, près de 95 % des incidents de cybersécurité impliquent une erreur humaine. Un simple clic sur un lien frauduleux, une procédure de validation contournée ou une baisse momentanée de vigilance peuvent suffire à ouvrir la porte à une attaque. Cette réalité fait de l'été une période particulièrement sensible pour les organisations.
Analyse en six axes :
1 - La surveillance au point mort : le moment idéal pour frapper
Les attaquants savent qu'une intrusion est d'autant plus efficace qu'elle reste invisible le plus longtemps possible. C'est pourquoi ils privilégient traditionnellement les nuits, les week-ends… et les vacances d'été.
Pendant plusieurs semaines, les équipes IT et cybersécurité fonctionnent avec des effectifs réduits. Les délais de détection s'allongent. Les temps de réaction également. Une compromission qui serait identifiée en quelques heures en période normale peut passer inaperçue pendant plusieurs jours, laissant aux attaquants le temps de se déplacer latéralement dans le système d'information, d'exfiltrer des données sensibles ou de préparer le déploiement d'un ransomware.
Dans ce contexte, chaque heure gagnée par les cybercriminels augmente considérablement l'impact potentiel de l'attaque.
2 - Le facteur humain : quand la vigilance fond au soleil
L'été modifie profondément les comportements des collaborateurs, et les cybercriminels en tirent un profit redoutable.
La baisse d'attention générale constitue le premier levier exploité. Un collaborateur en mode « pré-vacances » ou fraîchement revenu de congés est naturellement moins vigilant face à un e-mail suspect. La pression du quotidien, combinée à l'envie de boucler les dossiers avant le départ, crée un terrain fertile pour le clic malheureux.
La fraude au président connaît elle aussi un pic estival. Le scénario est classique mais redoutablement efficace : un message prétendument envoyé par le PDG, en vacances et donc injoignable, demande un virement urgent et confidentiel. Le collaborateur sollicité, souvent un remplaçant peu familier des processus internes, n'ose pas questionner la demande. Il exécute. Les conséquences peuvent se chiffrer en centaines de milliers d'euros.
Plus largement, les remplacements temporaires créent des failles organisationnelles majeures. La personne qui assure l'intérim ne connaît pas toujours les procédures exactes de validation : un changement de RIB fournisseur, une demande de modification de coordonnées bancaires, une autorisation d'accès inhabituelle. Autant de situations où l'absence du titulaire du poste ouvre une brèche que les attaquants savent exploiter avec précision.
3 - L'été, terrain de chasse du phishing saisonnier
Les cybercriminels sont aussi d'excellents marketeurs. Ils savent adapter leurs campagnes de phishing au calendrier et aux centres d'intérêt du moment.
L'été multiplie les prétextes crédibles :
- Événements sportifs et musicaux: faux concours, billets à prix cassés, offres de dernière minute pour des festivals ou des compétitions.
- Offres promotionnelles de vacances: réservations d'hôtels, locations saisonnières, billets d'avion à tarif exceptionnel.
- Sujets d'actualité saisonniers: alertes canicule avec de faux liens institutionnels, primes carburant fictives, arnaques aux remboursements divers.
Ces campagnes exploitent un ressort psychologique puissant : l'envie. Un collaborateur qui reçoit sur sa messagerie professionnelle une offre alléchante pour un séjour ou un événement est tenté de cliquer, même s'il sait qu'il devrait se méfier. Et un seul clic suffit pour compromettre un poste, puis potentiellement l'ensemble du réseau.
4 - Côté IT : une surface d'attaque qui explose
Au-delà du facteur humain, l'été pose des défis techniques considérables pour les équipes de sécurité informatique.
Les mises à jour et correctifs prennent du retard. Avec des équipes réduites, les opérations de maintenance préventive sont souvent reportées. Les failles connues restent non corrigées plus longtemps, offrant aux attaquants des portes d'entrée documentées et facilement exploitables.
La surface d'exposition s'élargit dangereusement. Le télétravail depuis le lieu de vacances est devenu une pratique courante. Mais se connecter au SI de l'entreprise depuis un réseau Wi-Fi d'hôtel, de camping ou de café n'offre évidemment pas les mêmes garanties de sécurité que le réseau de l'entreprise. Les connexions non sécurisées, les réseaux Wi-Fi publics et l'utilisation d'équipements personnels (BYOD) multiplient les points d'entrée potentiels pour les attaquants.
Cette dispersion géographique et technique des accès rend la supervision du SI considérablement plus complexe, précisément au moment où les ressources pour assurer cette supervision sont au plus bas.
5 - Anticiper plutôt que subir : les clés d'un été cyber-résilient
Face à ces risques, l'attentisme n'est pas une option.
Quelques mesures permettent de réduire significativement les risques :
- Préparer un plan de continuité estivalintégrant des procédures de réponse aux incidents adaptées aux effectifs réduits, avec des astreintes clairement définies.
- Renforcer la sensibilisation avant les départsavec des campagnes ciblées sur les risques saisonniers : phishing estival, fraude au président, bonnes pratiques de connexion à distance.
- Durcir les procédures de validationpour les opérations sensibles (virements, modifications de coordonnées bancaires, attributions d'accès) en imposant une double validation, y compris en période de remplacement.
- Anticiper les mises à jour critiquesen planifiant les correctifs de sécurité avant la période creuse.
- Encadrer strictement les accès distantsvia des VPN obligatoires, une authentification multifacteur renforcée et une politique claire sur l'utilisation des équipements personnels.
La saisonnalité des cyberattaques n'est pas une fatalité. C'est un risque parfaitement identifié, documenté et, surtout, maîtrisable. Baisse de vigilance humaine, surface d'attaque élargie, équipes IT en sous-effectif, phishing opportuniste : chacun de ces facteurs est connu. Leur combinaison estivale est prévisible. Il n'y a donc aucune excuse à ne pas s'y préparer.
6 - La résilience ne prend pas de vacances
Les référentiels qu'il s'agisse de l'ISO 27001 ou du guide d'hygiène de l'ANSSI, intègrent tous cette dimension de continuité et de résilience opérationnelle, y compris en période dégradée. Mais encore faut-il que ces cadres soient réellement mis en œuvre, testés et adaptés à la réalité de chaque organisation. Car la meilleure politique de sécurité du monde ne vaut rien si elle reste dans un tiroir pendant que les équipes sont sur la plage.
Les cybercriminels, eux, travaillent tout l'été. La véritable question n'est donc pas de savoir si les organisations seront ciblées, mais si elles auront pris les dispositions nécessaires pour être prêtes lorsque les premières attaques surviendront.
