Depuis de nombreuses années, les dirigeants de PME doivent faire face à une série de risques : la défaillance d’un client stratégique, un grave accident d’un salarié, les démissions de collaborateurs clefs, un manque de liquidités, etc…
Plus récemment, un nouveau risque est apparu au niveau de toutes les entreprises : les cyberattaques. A ce titre, les termes ne manquent pas pour qualifier ce nouveau fléau : cybercriminalité, cyber-rançonnage, cyber-espionnage, cyber-piratage, cyber-délinquance, etc …
De la grande entreprise à la PME, les conséquences d’une cyberattaque sur l’exploitation peuvent être majeures et aller jusqu’à mettre en péril la poursuite de l’activité. Il appartient donc au dirigeant de PME de prendre en compte avec beaucoup d’attention le risque cyber et de l’intégrer dans l’élaboration de la cartographie des risques de son entreprise (plan à réactualiser au minimum une fois par an).
Les raisons de la vulnérabilité accrue des PME
Les PME sont des proies de plus en plus faciles pour des hackeurs. En effet, la plupart des PME ont souvent des systèmes de protection très insuffisants, le système se limitant à l’installation d’un simple antivirus et à un investissement à quelques centaines d’euros. Les PME ne disposent que très rarement d’un responsable en charge de la cybersécurité.
De plus, par nécessité opérationnelle les PME ont dû davantage s’ouvrir sur l’extérieur afin de rester connectés en permanence avec tous les acteurs de leur écosystème. Un facteur additionnel est le recours de plus en plus fréquent au travail à distance en place chez de nombreux collaborateurs. Ces deux éléments complexifient fortement la sécurisation des données et des systèmes informatiques.
Enfin, les hackeurs se dirigent vers les PME en procédant à des attaques malveillantes massives maximisant le nombre de cibles et en même en temps en limitant le risque d’échec par rapport à des grandes entreprises ou des institutions souvent mieux armées techniquement, financièrement et juridiquement pour se défendre.
Un risque en nette progression
En matière de cyberattaque, il faut rester prudent sur les chiffres dans la mesure où il n’existe aucune statistique précise officielle.
Cependant, il faut souligner que selon le Cesin (Association regroupant les experts de la cyber), seulement la moitié des entreprises ayant subi une cyberattaque porterait plainte. Toujours selon le baromètre du Cesin, près de 54 % des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021. Par ailleurs, l’Ansssi (Agence Nationale de la Sécurité des Systèmes d’Information) constate un développement exponentiel des demandes de rançons liées à des cyberattaques.
En tout état de cause, le risque pour les PME est très significativement plus élevé qu’il y a dix ans. En conséquence, aucune entreprise, même de quelques salariés et réalisant un chiffre d’affaires de moins d’1 million d’euros, ne peut désormais occulter l’aggravation de cette situation.
Différents niveaux de cyberattaques et des conséquences plus sévères
A l’origine, les cyberattaques affectant une PME ne concernaient qu’un nombre limité d’utilisateurs. A présent, les attaques sont de plus en plus sophistiquées et difficiles à détecter. Des adresses mail officielles peuvent être copiées, des messages comprenant des informations réelles de l’entreprise sont parfois détournées, des données sont cryptées au détriment des utilisateurs … Les pirates ne manquent pas d’imagination et de nouveaux moyens pour hacker une société.
De la simple malveillance gratuite au rançonnage sur des sommes importantes, ils existent différents niveaux de cyberattaques. Les conséquences peuvent être un simple blocage du système informatique et une perturbation temporaire de l’activité. Dans certains cas extrêmes, il peut conduire à une destruction totale des données si l’entreprise refuse de payer la rançon exigée en contrepartie de la clé de déchiffrement. La continuité de l’activité peut alors être en jeu, en particulier pour une PME qui ne dispose pas de ressources suffisantes pour redémarrer le système dans des délais courts ou pour récupérer les informations vitales à son activité (fichier client, données produit, informations financières, etc…).
Besoin d'un accompagnement pour développer votre PME ?
Contactez-nousLe premier levier de défense porte sur la formation des équipes
La clé d’entrée de la majorité des cyberattaques est une erreur humaine. C’est la raison pour laquelle la sensibilisation et la formation des collaborateurs sont essentielles dans une politique de cybersécurité.
Les mesures doivent porter notamment sur les points de vigilance suivants :
- La gestion des mots de passe, avec des changements réguliers et si besoin des doubles codifications pour toute connexion externe
- La formation sur les dangers d’hameçonnage (phishing) visant à infecter un ordinateur afin de répandre le virus dans toute l’entreprise. Plusieurs moyens intrusifs sont disponibles pour des hackers malintentionnés : des pièces jointes infectées, des codes à saisir sur un PC ou un smartphone, des propositions de faux support technique, etc…
- Les précautions à respecter en cas de connexion avec des supports externes : clés USB, …
- Le risque de chantage par l’intermédiaire de messages frauduleux.
- Le piratage de la messagerie et l’utilisation usurpée d’une adresse de l’entreprise.
Cette liste est bien évidemment loin d’être exhaustive. L’essentiel est que ces formations soient régulières afin de diffuser des bonnes pratiques et de développer des réflexes de prudence chez tous les collaborateurs.
Le renforcement du système de sécurité
Au-delà des antivirus « classiques » de sécurisation des transactions ou de détection du phishing, le système informatique doit être audité. La PME doit disposer d’un niveau de sécurité adapté à sa taille et à la complexité de son réseau. A titre d’exemple, la CPME, pour un PME d’1 million de chiffre d’affaires, recommande un budget de 6 000 euros la première année et 3 000 euros chaque année suivante.
La mise à jour des logiciels en place dans l’entreprise est également un point sensible pour disposer des dernières versions intégrant les protections optimales.
Par ailleurs, la sauvegarde régulière des données est un principe clé de la lutte contre les cyberattaques. Au-delà du stockage sur les serveurs en ligne de l’entreprise, il y a lieu de mettre en œuvre des sauvegardes externes sécurisées.
En synthèse, le système informatique de toute PME doit être conçu dès l’origine et développé par la suite pour prendre en compte ce risque bien réel de cyberattaque. Des investissements au niveau système d’information sont indispensables pour minimiser le risque d’intrusion malveillante et de détérioration des données essentielles de l’entreprise. Cette mesure préventive est un investissement « rentable ».
Une solution avancée pour les PME, l’assurance contre le risque cyber
A date, seules 0,3 % des PME et 0,9 % des ETI françaises sont assurées contre les conséquences d’une cyberattaque, risque de perte d’exploitation et de rançonnage. A titre de comparaison, près de 80 % des grands groupes sont couverts par une assurance.
L’objectif des nouvelles dispositions législatives est de renforcer la sécurité des PME portant plainte à la suite d’une attaque informatique, tout en évitant une dérive du nombre de rançonnage.
L’Etat cherche à aider les petites et moyennes entreprises en diffusant les bonnes pratiques. Le label ExpertCyber a ainsi été développé par Cybermalveillance.gouv.fr auquel tout dirigeant de PME peut d’adresser pour une demande d’aide.
Plus récemment, l’Administration propose des aides financières au service des PME afin de renforcer leur cybersécurité. Ces aides sont en particulier destinées aux petites entreprises agissant dans des secteurs sensibles.
