On le sait, désormais, toutes les structures, même les plus petites, peuvent être victimes d’une cyberattaque. D’ailleurs, les TPE/PME, souvent moins bien préparées que les grandes, sont particulièrement exposées.
Pourtant, à l’occasion d’une récente enquête IFOP*, seulement 11% des PME françaises déclaraient avoir déjà été la cible d’une cyberattaque.
Un rapport de l’Institut Montaigne* recommande d’interpréter ce résultat avec prudence : une partie des entreprises ne souhaitant pas communiquer sur le sujet ; une autre n’ayant pas identifié qu’elles avaient été victimes d’une cyberattaque.
Car, en parallèle, on assiste à une hausse constante des demandes d’assistance sur le site cybermalveillance.gouv.fr* (en moyenne 75% d’augmentation par an).
Cela indique un défaut de prise de conscience du risque cyber, alors qu’une cyberattaque peut atteindre certains processus clés de l’entreprise, et contraindre ou même empêcher son activité.
Alors,
- Cyber-risques : de quoi parlons-nous ?
- Quels sont les enjeux réels des cyber-risques ?
- Quelles sont les menaces les plus courantes ?
- Et quelles stratégies de protection et de prévention mettre en place ?
Explorons ces questions ensemble.
Cyber-risques : de quoi parlons-nous ?
En termes simples, un cyber-risque représente la possibilité qu’un événement indésirable, intentionnel ou non, vienne perturber ou endommager les systèmes informatiques.
Cette perturbation peut prendre diverses formes, parmi lesquelles on peut citer :
Les intrusions malveillantes
Des individus malintentionnés s’introduisent dans les systèmes informatiques afin de dérober des données confidentielles, diffuser des logiciels malveillants ou prendre le contrôle des infrastructures.
Les intrusions involontaires
Des erreurs humaines ou des défaillances techniques peuvent involontairement compromettre la sécurité des systèmes, exposant ainsi l’organisation à des cyber-risques.
Les risques opérationnels
Une gestion incorrecte des systèmes informatiques, des mises à jour de sécurité négligées ou des procédures de sauvegarde défaillantes peuvent également accroître le niveau de cyber-risque d’une organisation.
Quels sont les enjeux des cyber-risques ?
Ils sont multiples :
Protection des données personnelles
La dématérialisation croissante, l’essor du nomadisme et du télétravail, l’adoption d’outils cloud et la multiplication des objets connectés ont engendré une explosion du volume de données exposées.
Cette tendance amplifie considérablement la menace de cyberattaques.
Continuité des affaires
Une cyberattaque peut affecter la capacité opérationnelle de l’organisation tout entière : prise de commande, facturation, production… peuvent se trouver contraintes, voire paralysées.
Réputation
Une entreprise victime d’une cyberattaque peut voir sa réputation ternie (auprès de ses clients, prospects potentiels, partenaires, fournisseurs…).
Impact financier
Arrêt ou perturbation des SI (entrainant celui de la production), perte, vol ou compromissions de données, fraudes… : La cybercriminalité a un coût pour l’entreprise.
Selon les sources, ce coût varie : Il y a un an, le cabinet Asterès* l’évaluait à 2 milliards d’euros en France, avec un coût moyen de 59 000 € par attaque réussie.
Ces coûts incluent celui de la perte de données, de leur récupération et les amendes réglementaires.
Nécessité réglementaire
La cybersécurité n’est donc plus une option, c’est une nécessité.
L’entrée en application de la directive NIS2 en octobre 2024 vient renforcer les exigences en matière de cybersécurité en étendant son périmètre à de nombreux secteurs d’activité.
La NIS2 inclut notamment des obligations en matière d’évaluation des risques cyber, de sécurisation de la chaîne d’approvisionnement et de mises en place de mesure de sécurité.
Opportunité
Se prémunir contre les cyber-risques peut aussi être considéré comme une opportunité : en se protégeant, l’entreprise renforce la confiance de ses partenaires et clients, car elle les protège aussi d’une potentielle attaque par capillarité !
Quelles sont les menaces les plus courantes ?
D’après l’enquête 2024 Global Digital Trucs Insights réalisée par PwC*, le top 5 des menaces de cybersécurité les plus redoutées pour les 12 prochains mois dans les entreprises est :
1 – Les attaques liées aux services cloud
L’adoption croissante des services cloud par les entreprises en fait une cible privilégiée pour les cybercriminels.
Ces attaques peuvent prendre diverses formes, telles que l’infiltration de comptes cloud, le détournement de données ou encore le piratage d’applications cloud.
Parmi ces menaces, celles concernant le détournement de données sont particulièrement inquiétantes. Le partage de données sur un réseau commun rend ces informations vulnérables. La clé pour se protéger réside donc dans le cryptage des données. Ainsi, même en cas de brèche, les données resteront inaccessibles pour les attaquants.
2 – Les attaques sur les objets connectés
La multiplication des objets connectés dans les entreprises et les foyers augmente considérablement la surface d’attaque potentielle pour les cybercriminels.
Ces objets, souvent dotés de systèmes de sécurité défaillants, peuvent être facilement piratés pour voler des données ou prendre le contrôle de réseaux entiers.
3 – Les violations de données
Le vol de données, qu’elles soient personnelles, financières ou professionnelles, est l’un des objectifs principaux des cybercriminels. Ces violations peuvent entraîner de graves conséquences pour les entreprises, sur le plan financier et de la réputation.
4 – Les Hacks de comptes d’entreprise
Le piratage de comptes d’utilisateurs privilégiés ou d’administrateurs système permet aux cybercriminels d’accéder à des données sensibles et de prendre le contrôle de systèmes informatiques critiques.
5 – Les ransomwares
Il s’agit de logiciels malveillants qui chiffrent les données d’une victime et exigent le paiement d’une rançon pour les déchiffrer. Ces attaques peuvent paralyser l’activité d’une entreprise et causer des dommages financiers importants.
Se protéger contre ces cyber-risques implique de mettre en place des solutions de sécurité robustes, de sensibiliser les collaborateurs et de se doter d’un plan de réponse aux incidents efficace.
Quelles stratégies de prévention et de protection doit-on mettre en place ?
Pour se prémunir contre ces cyber-risques, voici quelques mesures concrètes à mettre en place :
Attaques liées aux services cloud
- Sécuriser les comptes cloud : utiliser des mots de passe forts et activer l’authentification à deux facteurs (2FA) pour tous les comptes cloud.
- Chiffrer les données sensibles avant de les stocker dans le cloud et à l’occasion de leur transmission.
- Mettre à jour régulièrement les logiciels : appliquer les correctifs de sécurité et les mises à jour logicielles dès qu’ils sont disponibles.
Attaques sur les objets connectés
- Mettre à jour les firmwares dès que les mises à jour sont disponibles pour les objets connectés.
- Désactiver les fonctionnalités non utilisées.
- Sécuriser le réseau avec un mot de passe fort.
Violations de données
- Sensibiliser les employés aux risques cyber, les former à identifier et à signaler les e-mails et sites web suspects.
- Mettre en place des contrôles d’accès stricts, limiter l’accès aux données sensibles aux personnes qui en ont réellement besoin.
- Mettre en place des mesures de protection contre les malwares, installer un antivirus et un anti-malware sur tous les appareils.
Hacks de comptes d’entreprise
- Inciter les employés à utiliser des mots de passe forts et uniques pour tous leurs comptes professionnels.
- Surveiller l’activité des comptes professionnels
- Mettre en place des contrôles d’accès stricts : limiter l’accès aux systèmes informatiques et aux données aux personnes qui en ont réellement besoin.
Ransomwares
- Effectuer des sauvegardes régulières des données et les stocker hors site.
- Mettre en place des solutions de détection et de réponse aux ransomwares.
- Sensibiliser les employés aux risques de ransomware, former les employés à identifier et à signaler les e-mails et les pièces jointes suspectes.
2024, une année charnière en matière de cyber défense.
L’explosion des menaces et les enjeux croissants liés à la protection des données et des systèmes d’information nous obligent à adopter une posture proactive face aux cyber-risques.
Deux facteurs clés devraient permettre aux entreprises d’initier des changements dans leur politique cyber en 2024 : Les promesses de l’IA Générative en matière de défense ; une évolution majeure de la réglementation invitant à plus de transparence en matière de gestion des cyber-risques.
Pour aller plus loin
- [ Cas d’usage PME ] Mise en œuvre d’un projet de renforcement de la sécurité des systèmes d’information et de sensibilisation des risques au sein des équipes
- [ Article ] Restaurer la confiance en matière de sécurité et de protection des données : 4 bonnes pratiques
*Sources
- Sondage IFOP : Les PME et la cybersécurité
- Étude PWC : Global Digital Trust Insights 2024
- Rapport Institut Montaigne, juin 2023 : Cybersécurité, passons à l’échelle
- Cybermalveillance.gouv.fr
- Étude Asterès : Les cyberattaques réussies en France : un coût de 2 Mds€ en 2022
Vous souhaitez réagir ou en savoir plus ?
Nous restons à votre disposition pour échanger avec vous autour d’un café.