L’époque où les cyberattaques étaient le lot de quelques PME malchanceuses est belle est bien révolue. Très rentables pour les cybercriminels car plus faciles à attaquer que les grands groupes, elles sont devenues une cible de choix. Au cours des 12 derniers mois, 21% ont été victimes d’une cyber attaque. Si le coût de ces attaques dépasse rarement les 10 000€, il peut arriver dans de très rares cas que l’entreprise victime ne s’en relève pas, notamment quand l’affaire devient publique.
Cette médiatisation a également des effets positifs. Sensibilisés par les retentissantes cyberattaques qui défraient régulièrement la chronique, les dirigeants de TPE et PME français comprennent, aujourd’hui, l’importance du risque cyber pour leurs structures. Malheureusement, ils ne savent pas comment s’y atteler. Une étude récemment menée par Kaspersky Lab et Euler Hermes (1) montre ainsi que seuls 19% des dirigeants de PME ont prévu des investissements dans la cybersécurité alors que c’est un sujet d’inquiétude pour 76% d’entre eux.
Cette situation paradoxale tient probablement aux discours très alarmistes, mais peu concrets, qui ont été tenus ces dernières années par les pouvoirs publics comme par les professionnels de la cybersécurité : nous avons été trop théoriques dans nos explications. Ne sachant par où commencer pour améliorer leur sécurité informatique, les dirigeants ne font… rien.
Pourtant, la cyber sécurité n’est pas un sujet compliqué. De nombreuses mesures ultrabasiques peuvent être mises en œuvre pour lutter efficacement contre les attaques et réduire considérablement son risque. Ainsi, l’entreprise peut se garantir un premier rempart de protection grâce à des mots de passe solides et en s’assurant que les mises à jour sont réalisées en temps réel, que ce soit en interne ou par le prestataire informatique de l’entreprise. La démarche est très simple et peut en général être automatisée au moyen d’un paramétrage. Ensuite, il faut s’assurer que tous les ordinateurs, mais aussi les tablettes, les smartphones et les serveurs sont protégés par des « suites de sécurité » : des modules comprenant un antivirus, des outils contre l’hameçonnage ou pour chiffrer les données.
Formation
Il existe aussi des systèmes pour protéger les données de l’entreprise en cas de vol de matériel : les informations contenues sur un smartphone ou un ordinateur dérobé peuvent en effet être effacées à distance. Parallèlement, il faut demander à un œil extérieur de réaliser un état des lieux de son système d’information. Il n’est pas possible de prendre de décision sans savoir exactement comment fonctionne son SI, qui l’utilise et quelles sont les faiblesses de sécurité, mais aussi où sont stockées ses données, etc. De nombreuses sociétés spécialisées peuvent réaliser un audit de sécurité, sur un ou deux jours, pour un coût très modéré. C’est sur la base de cet audit que l’entreprise pourra éventuellement opter pour des mesures de sécurité plus importantes, en se rapprochant d’un intégrateur ou de prestataires spécialisés.
Sur un autre plan, il y a également des choses très simples à mettre en place en matière de formation du personnel. Aujourd’hui, la moitié des entreprises que nous avons interrogées ne forme pas ses employés à la sécurité informatique, alors que l’on sait parfaitement que les salariés constituent souvent un point faible majeur. A la condition d’être correctement sensibilisés, les salariés – depuis l’assistant jusqu’au dirigeant – pourraient au contraire devenir la meilleure protection de l’entreprise. De nombreuses sociétés proposent des modules très concrets sur l’utilisation des mots de passe, le stockage des informations confidentielles, ou encore l’identification d’un email frauduleux, etc. Ces formations, réalisées en ligne, ne coûtent que quelques euros par mois et par salarié.
Bonnes pratiques
Il ne s’agit là que des bonnes pratiques les plus élémentaires mais les adopter permet à l’entreprise de se préparer à réagir et c’est bien là l’essentiel. Face à un groupe de cybercriminels, aucune entreprise n’est imprenable. En revanche, une entreprise qui a développé sa capacité de réaction peut considérablement réduire l’impact d’un incident. Au final, la cybersécurité est tout autant une affaire d’investissements technologiques que de culture. Et sur ce dernier point, les petites et moyennes entreprises peuvent disposer des mêmes armes que les grandes. Tanguy de Coatpont, directeur général de Kaspesky Lab France
– «Les PME face aux enjeux de sécurité informatique ». Étude Ifop réalisée pour Kaspersky Lab et Euler Hermes en novembre 2018, auprès de 700 décideurs, au moyen d’un questionnaire en ligne.