En dehors de grandes entreprises et organisations, les ETI, TPE et PME ne semblent pas avoir encore fait le nécessaire pour se protéger contre les cyberattaques. Et pourtant, ces petites et moyennes entreprises ne sont pas à l’abri d’une cyberattaque dont les conséquences pourraient être graves : demande de rançon, tentative de sabotage, perte de données ou encore atteinte à l’image. Selon un sondage IPSOS pour CISCOS, une entreprise sur deux n’est pas protégée et plus d’entreprises encore estiment ne pas être une cible. Les chiffres sont pourtant là[1]. La France est le 3e pays le plus touché au monde et 69 % des TPE PME en sont victimes. Outre le fait de ne pas se sentir visées, les petites et moyennes entreprises déplorent le manque de moyens pour installer un véritable protocole de défense contre la menace cyber. Pendant ce temps, le MEDEF s’engage en octobre 2023, pendant le Cybermoi/s, en signant la charte cyber aux côtés de Cybermalveillance[2]. Cette charte porte la signature de plus de 80 organisations sur 8 engagements visant à instaurer un cadre cybersécurité vertueux et responsable au sein des organisations. Mais que représente la cybersécurité pour une entreprise ?
Attaques et conséquences
Selon les chiffres de l’Anssi (Agence nationale de la sécurité des systèmes d’information) 40 % des attaques contre demande de rançon, soit 90 % des cyberattaques, concernaient les TPE, PME et ETI l’année dernière.
Parce que mal informées et mal protégées, les petites et moyennes entreprises représentent une proie facile pour tous les pirates informatiques qui préfèreront souvent aller au plus rapide et au plus facile. Il suffit d’une erreur humaine, comme l’ouverture d’un courriel frauduleux ou d’une négligence, comme celle de donner son mot de passe et son identifiant, pour laisser le loup entrer dans la bergerie. Une fois entré, il est trop tard.
Les conséquences d’une attaque peuvent amener à la cessation définitive de l’activité : outre les demandes de rançon qui viennent mettre le chiffre en péril, il existe aussi les soustractions de données clients, ou même des RIB, alors qu’une entreprise est supposée protéger ces mêmes données, selon le RGPD en Europe. Comment récupérer ensuite la confiance des clients ? Les conséquences financières peuvent être catastrophiques et les atteintes à l’image difficilement récupérables.
Connaître son parc informatique et évaluer le niveau de risque
Tant qu’on ignore les points d’entrées des attaques, qu’on n’imagine pas les fragilités de nos systèmes, comment se protéger ?
La première des étapes est celle d’évaluer les risques de son entreprise. Ils peuvent être bien distincts d’une entreprise à l’autre, mais personne ne doit se croire à l’abri. Les cybermenaces ne cessent de se développer et les pirates font preuve de beaucoup de créativité pour déjouer les systèmes de défenses. Justement parce qu’elles sont souvent dépourvues de protection solide ou qu’elles ignorent les mises à jour de celle en place, les petites entreprises représentent des cibles très vulnérables.
Une inspection par un professionnel peut déjà donner des premières bases de défense et rappeler les bonnes pratiques en matière de sécurité informatique. Depuis que les cyberattaques se sont multipliées ces cinq dernières années, les professionnels ont bien compris qu’il fallait aussi se mettre au niveau des petites entreprises et proposent de plus en plus de solutions abordables.
Encore faut-il que le dirigeant comprenne qu’il faut faire de la cybersécurité une priorité stratégique. Les risques sont trop grands à l’heure actuelle, et finalement, la non-sécurité peut coûter bien plus cher ! Entre la récupération des données, les réparations éventuelles, la mise en conformité réglementaire, les notifications aux clients et les assurances, fermer les yeux sur la nécessité de se protéger contre les attaques informatiques est un faux calcul. Les coûts après attaque peuvent se montrer bien supérieurs aux coûts d’investissement préventifs en cybersécurité. N’oublions pas non plus les réglementations en vigueur qui obligent les entreprises à protéger les données de leurs clients.
Sensibiliser et former tous les collaborateurs
La sécurité d’une entreprise est l’affaire de tous, quelle qu’en soit la taille. Si les grosses entreprises ont de toute façon un service entier dédié à l’informatique et à la cybersécurité, les petites entreprises peuvent et doivent sensibiliser tous leurs collaborateurs sur les bonnes pratiques. Cela peut évidemment passer par la formation pour tous les employés, qui comprendront alors la nécessité des sauvegardes régulières, de la mise en place de pare-feu, de la mise à jour des logiciels antivirus. C’est une question de bon sens qu’il convient pourtant de remettre sur la table de temps à autre. Une main-d’œuvre bien informée peut devenir le premier rempart, la première ligne de défense d’une entreprise contre les cyberattaques.
Ces formations aideront d’ailleurs les salariés à être plus vigilants sur le plan personnel ; ils éviteront ainsi plus facilement les pièges posés un peu partout sur la toile par les hackers.
Conclusion
En signant la charte cyber, le MEDEF s’est placé à l’offensive et donne l’exemple. Le gouvernement multiplie les appels à la vigilance et encourage les formations à tous les niveaux. Devant la démultiplication des attaques, la seule réponse est la connaissance du danger et les gestes simples pour se protéger. Il devient donc urgent et nécessaire de sensibiliser tout un chacun à la cybersécurité. La cyberattaque est plus lucrative que le trafic de drogues ! Même si aucun système n’est 100 % inviolable, la sensibilisation, la formation et la protection sont devenues indispensables. La cybersécurité n’est pas une dépense, mais un investissement sur l’entreprise, ses clients et son activité, une activité pour laquelle chaque jour, des milliers de dirigeants et de collaborateurs se dépensent sans compter.
[1] https://www.francenum.gouv.fr/magazine-du-numerique/les-tpe-et-pme-sont-les-cibles-privilegiees-des-pirates-informatiques-en-2022