« Il paraît qu'on a eu un virus dernier cri. »
C'est souvent la réaction des structures visées par une attaque informatique. Aujourd'hui, les très petites, petites et moyennes entreprises (TPE/PME) sont devenues des cibles privilégiées pour les cybercriminels. Qu'elles soient victimes directes ou un point de départ pour des attaques plus vastes, elles font désormais partie du cyberespace et font face aux enjeux liés, dont la cybersécurité. Bon nombre de ces structures doivent relever des défis majeurs en matière de sécurité, notamment se conformer aux exigences du RGPD.
C'est un challenge difficile car les TPE/PME disposent de moindres moyens. Leur infrastructure et leurs pratiques de sécurité sont moins sophistiquées que celles des grands groupes. Et c'est sans compter sur un nombre insuffisant de collaborateurs formés à gérer et à remédier aux menaces. Or, dans le paysage numérique actuel, toute organisation, quelle que soit sa taille, est potentiellement en danger. Pour preuve, une entreprise sur trois a subi une fraude informatique avérée l'an passé[1].
Étonnamment, les PME commencent à peine à se rendre compte qu'elles sont exposées à des menaces similaires à celles de leurs pairs. Malheureusement pour elles, cette prise de conscience a trop souvent lieu après une attaque. Or, le coût d'un piratage informatique peut être élevé, voir trop élevé. Que ce soit en termes d'image ou sur un pan financier, on peut facilement imaginer le scénario catastrophe.
Que peuvent faire les PME ?
Si nous sommes loin de trouver une solution miracle pour éradiquer les cyberattaques, il existe toutefois des solutions pour les endiguer. Dans ce contexte, la campagne de sensibilisation au risque cyber et numérique, lancée par le Haut fonctionnaire de défense et de sécurité des ministères économiques et financiers, présente des mesures simples pour protéger les échanges et les systèmes informatiques du grand public, des entreprises et des administrations.
Il est ainsi recommandé aux TPE/PME de mener 3 actions concrètes : la sauvegarde des données, la mise à jour régulières des systèmes d'exploitation et l'installation de solutions antivirus. Soit des mesures simples et rapides à implémenter pour se protéger et assurer la protection de leurs clients et partenaires face à d'éventuelles cyberattaques. Mais des mesures qui impliquent que l'entreprise dispose de compétences en interne pour les implémenter ou qu'elle s'appuie sur des partenaires tiers compétents en la matière.
« Ensemble on est plus fort ! »
C'est avec ce leitmotiv en tête que les structures doivent impliquer l'ensemble de leurs employés à maîtriser les bases nécessaires à leur cybersécurité. Car l'ingénierie sociale constitue l'un des vecteurs d'attaques les plus utilisés par les cybercriminels pour pénétrer dans les systèmes informatiques de l'entreprise. On dénombre cinq types d'attaques majeurs à destination des employés : l'hameçonnage (phishing), les menaces persistantes avancées (APT), les ransomwares, les attaques par déni de service (DDoS) et la prolifération du BYOD (Bring your own device)[2].
Comme l'a rappelé Guillaume Poupard, Directeur Général de l'ANSSI (Agence Nationale pour la Sécurité des Systèmes d'Informations), lors des Assises de la Sécurité, « chaque organisation doit s'approprier la méthode en fonction de son contexte ». Que ce soit via des compétences internes, des formations, des recrutements, la mise en place de solutions dédiées, la contractualisation avec un tiers, etc. chaque TPE/PME doit aujourd'hui avoir pris la mesure de l'urgence d'adopter une politique de cybersécurité efficace. Il en va de leur survie !
___
[1] Source : http://www.eulerhermes.fr/mediacenter/actualites/Pages/etude-fraude-2018.aspx
[2] Source : https://www.cisco.com/c/dam/en/us/products/collateral/security/small-mighty-threat.pdf