S’il y a bien un secteur qui ne connaît pas la crise, c’est celui des attaques cyber. 57 % des entreprises françaises sont confrontées à une forte hausse des cas de piratage informatique, et 38 % d’entre elles affirment avoir été victimes d’au moins une violation de données au cours des deux années précédentes (étude Splunk citée par BDM). Or, si toutes les entreprises, indépendamment de leur taille et de leur activité, sont des cibles potentielles pour les hackers, les plus vulnérables restent les petites et moyennes structures : 43 % des PME ont constaté un incident de cybersécurité en 2020 (selon un rapport du Sénat). Avec des conséquences alarmantes, tant au niveau des finances que de la réputation. Quels sont les enjeux liés à la cybersécurité des TPE/PME et comment protéger au mieux votre organisation ?
La cybersécurité pour les TPE et les PME : un état des lieux
À mesure que se développent les usages numériques dans le monde professionnel, les risques cyber augmentent. Certes, l’utilisation d’appareils connectés et d’applicatifs dématérialisés (Cloud computing) tend à accélérer les processus, à améliorer les conditions de travail et à optimiser la satisfaction client. Mais elle rend aussi les entreprises plus sensibles aux attaques diverses et variées : hameçonnage (phishing), rançongiciels (ransomwares), programmes malveillants (malwares) et autres techniques conçues pour dérober des données.
Les petites et moyennes entreprises particulièrement vulnérables
Personne n’est à l’abri, certes. Mais les petites entreprises sont particulièrement ciblées : les TPE, PME et ETI sont les premières victimes des cyberattaques et cumulent 40 % des rançongiciels rapportés à l’ANSSI en 2022 (Panorama de la cybermenace). Cet acharnement n’a rien de surprenant : les pirates informatiques cherchent surtout à gagner de l’argent et, dans ce but, visent en priorité les organisations les plus fragiles. Or, les petites et moyennes entreprises se caractérisent par…
- une méconnaissance des risques, voire une forme d’insouciance face au danger représenté par les attaques cyber (le fameux « ça n’arrive qu’aux autres ») ;
- une certaine inexpérience relative aux mesures de protection ;
- des ressources limitées allouées à la cybersécurité.
Les conséquences désastreuses des attaques cyber
De fait, selon l’ANSSI, seulement un tiers des TPE/PME est considéré comme « correctement paré ». Avec des conséquences parfois dramatiques.
- D’une part, des pertes financières immédiates: rançon à verser pour regagner l’accès aux données (ransomware), perte d’exploitation, arrêt de l’activité…
- D’autre part, des conséquences indirectes: coût de remise en état du SI et reconstitution des données perdues, incidence sur la réputation de l’entreprise (avec une perte de confiance des clients), et jusqu’à des sanctions financières infligées par la CNIL aux organisations qui manquent à leur obligation de sécuriser les données de leurs utilisateurs (ainsi que le prévoit le RGPD européen : le règlement général sur la protection des données).
L’ANSSI note encore que le risque de défaillance augmente de près de 50 % dans les 6 mois qui suivent l’annonce de l’incident cyber.
Les mesures de protection (et de prévention) à mettre en place pour se prémunir contre les risques cyber
En tant que TPE/PME, quelles bonnes pratiques pouvez-vous mettre en place concrètement pour améliorer votre cybersécurité et augmenter votre résilience en cas d’attaque informatique ?
- Faire un inventaire des systèmes numériques et des données traitées, afin d’évaluer le niveau de risque, de recenser les points critiques, et d’identifier les lacunes. À partir de là, vous êtes en mesure d’établir un plan d’action de réponse aux incidents et d’élaborer un processus continu de détection des anomalies. De quoi réagir dans les meilleurs délais après un sinistre (selon un rapport d’IBM Security, il faut près de 9 mois à une entreprise pour trouver la source d’une cyberattaque et parvenir à la neutraliser…).
- Veiller à ce que les systèmes, les réseaux, les serveurs et les appareils soient mis à jour de leurs correctifs de sécurité.
- Effectuer des sauvegardes régulières des données et du système d’information (via une solution de backup), sur un support physique ET sur un serveur externe: cela garantit une récupération rapide des informations et des applicatifs en cas d’attaque cyber ou de sinistre touchant les locaux.
- Sensibiliser les collaborateurs aux bonnes pratiques en matière de cybersécurité, au besoin en organisant des formations dédiées. Par exemple : utiliser des mots de passe robustes constitués d’un mélange de caractères, et les changer avec régularité ; apprendre à identifier les emails frauduleux (phishing, ransomware, attaque de l’homme au milieu…) ; éviter de brancher ou de connecter des appareils ou des supports qui n’ont pas été validés par le service informatique (pour ne pas créer ce que l’on appelle un Shadow IT, un réseau informatique parallèle et non autorisé) ; etc.
Assurez-vous de protéger correctement vos systèmes d’information, vos applicatifs et vos précieuses données. Et n’oubliez pas que la cybersécurité en entreprise est l’affaire de tous et toutes !
Pour aller plus loin, consultez le guide édité par l’ANSSI à destination des TPE/PME.
Autres articles qui pourraient vous intéresser :
Performances financières de votre PME : 7 indicateurs à surveiller de près
