Selon la définition qu’en donne l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), la cybersécurité est « l’état qui permet à un système d’information de résister à des événements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises ».
Avec la numérisation toujours croissante des services et l’émergence de nouvelles technologies, cette menace cyber, nous le constatons, augmente tous les jours.
Intrusions telles que le phishing* (attaques les plus fréquentes), vol de données et demandes de rançons (rançongiciel*), attaque par déni-de-service*, sabotages divers et variés… : il semblerait qu’aucune organisation ne puisse y échapper un jour ! Et les conséquences peuvent être graves pour les entreprises concernées.
Les PME une cible de choix pour les cybercriminels
Il y a peu de temps encore, les cybercriminels visaient principalement les grandes entreprises et administrations. Leur montée en compétence en matière de cybersécurité a réorienté les organisations malveillantes vers les PME, moins bien protégées, et donc plus vulnérables. Et aussi plus nombreuses !
Le télétravail et l’externalisation de tout ou partie de leur infrastructure informatique constituent des facteurs aggravants, amplifiant la menace cyber déjà existante.
D’après le cabinet Asteres qui s’appuie sur des données d’Hiscox, 43% en moyenne des organisations françaises ont été victimes d’au moins une cyberattaque en 2022. Et plus de la moitié des PME interrogées témoignent avoir subi une attaque réussie dans cette période.
Parmi les 347 000 cyberattaques réussies touchant des entreprises, 330 000 concernent des PME :
Se mettre en ordre de marche en matière de cybersécurité représente dont un enjeu crucial pour les PME : il s’agit de se protéger contre les menaces en ligne, d’assurer la continuité de leurs activités, et ainsi, d’investir dans leur durabilité et leur croissance.
Dans cet article, nous verrons :
- Quel est l’impact d’une cyberattaque pour une PME ;
- Quels sont les freins que rencontrent les PME pour mettre en place une démarche cybersécurité, et comment y répondre ;
- De bonnes pratiques à mettre en œuvre immédiatement pour se protéger contre une cyberattaque.
Quel est l’impact d’une cyberattaque pour une PME ?
Pour une PME, les coûts d’une cyberattaque peuvent varier considérablement en fonction de la gravité de l’attaque et du degré de préparation de l’entreprise. Aux conséquences financières s’ajoutent les impacts psychologiques.
Conséquences financières
Perte de données : Si elles entrainent la perte de données cruciales pour l’entreprise, les cyberattaques s’avèrent couteuses en termes de récupération et de réparation. Sans compter les ajustements en matière de cybersécurité auxquels il va falloir procéder.
Interruption des opérations : Les attaques de ransomware* ou les interruptions peuvent mettre à mal des processus clés de l’entreprise (prise de commande, facturation, production…), entraînant une paralysie des activités et une perte de revenus.
Coûts légaux et de conformité : Dans certains cas, les entreprises font face à des poursuites judiciaires ou à des amendes pour non-respect des réglementations en matière de protection des données.
Réputation ternie : La perte de la confiance des clients peut se traduire par un désengagement de leur part et entraîner, à terme, une baisse des revenus.
Extorsion : En cas de ransomware, les entreprises font face à des coûts importants pour payer des rançons. Le coût des attaques par rançongiciel subies par des PME de moins de 50 employés est estimé à plus de 720M€/an (Institut Montaigne). Le montant de la rançon varie entre quelques milliers et plusieurs centaines de milliers d’euros pour les TPE/PME. De telles attaques ont la capacité de mettre en péril la santé financière de l’entreprise : une PME sur 2 fait faillite dans les 18 mois suivant une cyberattaque.
Impacts psychologiques
Aux coûts financiers s’ajoutent les séquelles psychologiques.
Pour la direction de l’entreprise comme pour les collaborateurs, une cyberattaque est source de stress, mais aussi de traumatismes au même titre qu’un cambriolage.
Souvent, l’attaque s’appuie sur la manipulation de la victime (qui a reçu un lien ou une pièce jointe infectée). Puis, sur la pression exercée par les cybercriminels (diffusion des données extorquées sur internet ou refus de les déchiffrer…) pour convaincre l’entreprise de satisfaire à leurs attentes.
Investir dans de solides mesures de cybersécurité et se préparer à réagir promptement en cas d’incidents aident à minimiser les coûts potentiels. Les PME doivent considérer la cybersécurité comme un investissement dans la protection de leurs actifs et dans la continuité de leurs opérations.
Quels sont les principaux freins rencontrés par les PME pour se protéger ?
Malgré toutes les bonnes raisons qu’il y a de se protéger, les PME peinent à s’y résoudre.
Une problématique abstraite
Selon une étude menée par Kaspersky, alors qu’une bonne proportion des PME ont établi un plan d’activité (56%), un plan stratégique (50%) ou un plan de maintien d’activité (46%), seulement 39% d’entre elles disposent déjà d’un plan de reprise d’activité après sinistre informatique. 18% d’entre elles pensent même ne pas en avoir besoin. La problématique étant considérée comme abstraite et complexe, certains dirigeants de PME sous-estiment sa potentielle gravité. (Données Kaspersky)
Un manque de sensibilisation
Moins de la moitié des PME (45%) proposent une formation de sensibilisation à la cybersécurité à leurs salariés. D’ailleurs, une majorité d’entre eux (52%) pensent qu’étant donné leur métier, ils ne sont pas concernés par la cybersécurité. Pourtant, dans la moitié des cas, c’est par l’intermédiaire d’une action humaine (involontaire ou pas), que les attaquants arrivent à pénétrer dans le système d’information ciblé.
Le manque de compétences internes en matière de cybersécurité
Marché de la cybersécurité en tension (petit nombre de candidats pour le nombre de postes disponibles), manque de moyens : Les PME rencontrent des difficultés à recruter et fidéliser des experts en cybersécurité.
Un marché foisonnant de solutions techniques
Le marché de la cybersécurité regorge de solutions techniques et de prestataires intervenant à différents niveaux (sécurisation, maintenance, assistance lors d’un incident) : Les dirigeants de PME se sentent souvent en difficulté pour choisir parmi ce foisonnement d’offres en fonction du budget dont ils disposent. En l’absence de menace concrète, ils reportent la réflexion sur le sujet.
Une première étape consiste à accompagner ces chefs d’entreprise dans la mise en œuvre d’un projet de renforcement et de sensibilisation des risques au sein des équipes comprenant :
- L’élaboration d’une Politique de Sécurité des Systèmes d’Information (PSSI) complète,
- La réalisation d’une analyse des risques approfondie,
- La sensibilisation des collaborateurs à la menace Cyber,
- L’établissement d’un Plan de Reprise d’Activité (PRA) et d’un Plan de Continuité d’Activité (PCA) robustes,
- La conduite d’un audit de sécurité détaillé.
PME : 13 bonnes pratiques pour vous protéger contre les cyberattaques
Lorsque nous sommes victimes ou témoins d’un accident, le stress nous gagne. C’est naturel. Si nous nous y sommes préparés, par exemple en apprenant les gestes de premiers secours, nous sommes en mesure de réagir rapidement et d’empêcher le stress de nous paralyser en nous faisant perdre un temps précieux.
Pour être efficace de la même façon en cas de cyberattaques, voici quelques conseils et bonnes pratiques à mettre en place dès maintenant :
1. Sensibilisez vos employés aux menaces potentielles et aux bonnes pratiques en matière de sécurité. Apprenez-leur à repérer des signes avant-coureurs d’attaques (par exemple ralentissement ou comportement inhabituel de leur ordinateur).
2. Faites des mises à jour régulières des logiciels et les systèmes (notamment les mises à jour de sécurité pour combler les vulnérabilités).
3. Utilisez l’authentification forte (à deux facteurs minimum) pour renforcer l’accès aux comptes.
4. Faites des sauvegardes régulières des données, ressources et systèmes essentiels au fonctionnement de l’entreprise.
5. Limitez l’accès aux systèmes et aux données, aux personnes autorisées.
6. Chiffrez les données sensibles pour les protéger.
7. Utilisez des pare-feux et des logiciels antivirus dont l’efficacité est reconnue.
8. Formez-vous en continu à la cybersécurité.
9. Surveillez l’actualité de la cybersécurité, identifiez les menaces potentielles, mettez en place des systèmes de détection des menaces pour repérer les comportements suspects.
10. Préparez un plan de réponse aux incidents pour réagir rapidement en cas d’attaque, stockez vos plans d’action hors ligne pour être en mesure d’y avoir accès en cas d’urgence.
11. Établissez des règles pour les équipements personnels (ordinateurs, téléphones) qui sont utilisés au travail par vos collaborateurs.
12. Assurez-vous de respecter les réglementations en matière de cybersécurité.
13. Effectuez régulièrement des tests de sécurité et des audits, des exercices d’entrainement (arrêt des systèmes, tests de restauration)
Ces conseils contribuent à renforcer la sécurité de votre entreprise, à minimiser les risques de cyberattaques et à vous préparer à réagir rapidement en cas de besoin. Selon votre situation, certains d’entre eux sont faciles à mettre en place, d’autres peuvent nécessiter un accompagnement.
La cybersécurité : une opportunité pour les PME !
La cybersécurité est essentielle pour protéger vos activités en ligne. En restant vigilants, en formant vos équipes et en suivant des pratiques de sécurité solides, vous serez en mesure de défendre vos ressources numériques face à une menace en constante évolution.
La cybersécurité est aussi une opportunité pour les PME de renforcer la confiance de leurs partenaires et clients, car en se protégeant elles-mêmes, elles les protègent aussi d’une potentielle attaque par capillarité !
Enfin, l’investissement dans la cybersécurité prévient de perturbations coûteuses pour l’entreprise, en cas d’incident.
*Lexique : cf. glossaire ANSSI
- Phishing (ou Hameçonnage) : Vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.
- Rançongiciel (ou Ransomware) : Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon.
- Déni de service (Denial of Service, DoS) : Action, ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu.
Sources
- ANSSI : La cybersécurité pour les TPE/PME en 13 questions
- Asteres : Les cyberattaques réussies en France : un coût de 2 Mds€ en 2022
- Kaspersky : Cyber résilience en cas de crise
- Institut Montaigne : Cyber sécurité : passons à l’échelle
Pour aller plus loin
- [ Cas d’usage PME ] Mise en œuvre d’un projet de renforcement de la sécurité des systèmes d’information et de sensibilisation des risques au sein des équipes
- [ Cas d’usage Assurance ] Accompagnement cybersécurité en continu
- [ Article ] Restaurer la confiance en matière de sécurité et de protection des données : 4 bonnes pratiques
Vous souhaitez réagir ou en savoir plus ?
Nous restons à votre disposition pour échanger avec vous autour d’un café.