Les cyberattaques, ça n’arrive pas qu’aux autres ! TPE, PME et ETI : organisez votre défense informatique/numérique

Le coût des cyberattaques ne cesse de croître d’année en année : les dommages causés par la cybercriminalité ont coûté 6 000 milliards de dollars en 2021, soit plus de 6% du PIB mondial.
La même année, et selon le rapport du Sénat, 56% des PME ont connu au moins un incident de cybersécurité et le nombre d’attaques par rançongiciel a augmenté de 255%.

 

Partager
Les cyberattaques, ça n’arrive pas qu’aux autres !  TPE, PME et ETI : organisez votre défense informatique/numérique

La question n’est plus de savoir si votre entreprise sera attaquée, mais quand ?

La plupart des cyberattaques touchant les PME ne sont pas ciblées, mais sont le résultat du manque de robustesse des solutions en place et de l’opportunisme des attaquants. Les conséquences sont d’autant plus importantes pour des structures de type PME ou ETI.

Selon les études de Symantec et IFOP, 14% des entreprises victimes déclarent qu’elles ont dû dépenser plus de 50 000 euros pour se remettre en ordre de marche après une attaque, et jusqu’à 100 000 euros de plus pour 6% d’entre elles. Conséquence, 71 % des TPE et PME qui ont fait l’objet d’une cyberattaque ne s’en remettent pas et déposent le bilan dans les trois ans.

La protection n’est plus une option, mais une obligation.

Des risques avérés : les petites structures visées en priorité

Un biais cognitif laisse à penser que les cyberattaques ne touchent que les grandes entreprises. Or les PME sont en fait une cible de choix. Elles sont souvent identifiées comme plus vulnérables que les plus grandes, qui possèdent davantage de ressources humaines et financières pour protéger leurs systèmes d’information et leurs données sensibles et qui ont investi lourdement depuis plusieurs années dans la sécurisation de leurs systèmes.

Il est bien plus facile pour un pirate informatique de concrétiser une attaque « par opportunisme » sur une PME. D’autant qu’aujourd’hui, les hackers ne ciblent plus une entreprise en particulier, mais des adresses IP récupérées par l’achat d’une base de données et vont exploiter les failles du système détectées « au hasard » du scanning durant l’attaque informatique.

Ainsi, même une PME ou TPE, de quelque secteur que ce soit, peut être victime d’une cyberattaque : il est aujourd’hui vain de se penser protégé par sa petite taille, sa discrétion, son marché peu stratégique ou encore de son implantation locale.

Des attaques de tous types aux conséquences souvent vitales pour l’entreprise

Les TPE, PME, ETI sont plus exposées : par manque de moyens, d’expertise, de ressources et une sensibilité moindre à ce type de risque hypothétique. Pour investir dans sa sécurité informatique, il faut connaître les risques, les enjeux et les solutions de sécurisation existantes pour des structures de petite taille.

Engager une démarche d’audit de son système informatique, comme le font régulièrement les grandes entreprises pour évaluer leur maturité en matière de cybersécurité et tester leur résilience aux attaques, est déjà une première étape clef pour les PME. De plus c’est un bon moyen de sensibiliser les équipes de direction, à travers des preuves et cas concrets.

Les attaques sont de natures multiples : externes (par ransomware, phishing,…) ou internes (introduction physique dans l’entreprise, malveillance d’un employé, vol d’un poste de travail). Un wifi mal configuré peut être hacké du parking extérieur de la société. Pas d’effraction donc mais une intrusion aux conséquences majeures.

Une cyberattaque a des conséquences financières directes ou indirectes extrêmement lourdes. Elle peut mettre à mal directement les opérations, la production d’une usine, la relation client, par vol ou fuite de données sensibles (données d’une ville ou plan de fabrication d’un industriel) ou arrêt total de de l’activité. Et abattre une entreprise ainsi empêchée de fonctionner, qui perd la fidélité de sa clientèle et/ou ce qui fait sa valeur sur son marché. Au cœur de la crise, l’enjeu réputationnel sur l’image de marque est vital, quelle que soit la taille de l’entreprise.

Avant tout, la TPE, PME ou ETI doit se protéger pour prémunir ses parties prenantes : clients directs, fournisseurs, tous les acteurs de sa chaîne de valeur. Pour une collectivité locale, la mairie mais aussi l’ensemble des équipements publics sont concernés. Toute entreprise est interconnectée à d’autres et c’est tout son écosystème qui peut pâtir d’une cyberattaque à son encontre ou sur un des maillons de la chaîne.

Des partenaires menacés, un besoin de confiance toujours plus élevé

En s’attaquant aux petites structures, moins bien protégées, les attaquants peuvent également chercher à atteindre par rebond le système d’information de leurs partenaires. Le risque de propagation en chaîne entre systèmes est bien réel. C’est pourquoi, pour protéger leurs SI, ces derniers imposent fréquemment réciproquement à leurs partenaires un niveau de sécurité satisfaisant.

Afin de se préparer à l’évaluation imposée par leurs partenaires, les petites structures ont la possibilité de se tourner vers des offres d’audit packagées. Ce type d’audit permet de définir un plan d’actions permettant de mettre en œuvre les pratiques standards et avancées de sécurité.

Une évaluation de sa maturité Cybersécurité à travers un audit permet aussi de communiquer officiellement un niveau de conformité auprès de certains tiers et représente un réel atout de confiance : compagnies d’assurance, banques, investisseurs, places boursières …

En parallèle, les grands groupes ont recours, eux aussi, à ces offres d’audit packagées pour évaluer le niveau de sécurité et de risque de leurs partenaires. Un moyen d’éviter d’être dans les 30% des entreprises rachetées qui, à la suite d’une fusion acquisition, sont la cible d’une cyberattaque dans l’année qui suit.

La migration vers le Cloud : une démarche pour plus de sécurité, mais pas sans risques

Si l’on parle plus volontiers d’attaques externes, l’entreprise peut aussi se mettre en risque par ses propres opérations sur ses systèmes d’information.

Face à la difficulté de maintenir leurs SI à un niveau de sécurité satisfaisant, de plus en plus d’entreprises se tournent vers des solutions hébergées dans le Cloud. Selon une étude de SFR Business, 40% des plus petites entreprises ont déjà investi dans la migration de tout ou partie de leurs SI en vue de gagner en flexibilité, disponibilité ou soulager les équipes en interne.

En externalisant leurs services, les petites entreprises ont tendance à croire que ce choix leur permettra de s’affranchir de la gestion de la sécurité informatique sur ce périmètre.

Dans les faits, ces migrations augmentent l’exposition et le risque de cyberattaques. Le Cloud n’exonère pas les équipes internes de la mise en place et du contrôle des bonnes pratiques de sécurité dans le Cloud. Il est important de veiller à ce que les tiers qui les accompagnent mènent différentes actions de sécurité, qui peuvent être incluses dans des offres packagées, telles que l’audit de configuration ou l’audit d’un environnement Cloud.

Audit cybersécurité : des offres packagées accessibles aux TPE, PME et ETI

Les vulnérabilités des petites structures sont évidentes face à une attaque. Et pourtant certaines, qui se relèvent d’une telle situation, ne jugent pas nécessaires d’investir ! De plus, certains secteurs n’imposent pas de règlementations en la matière. Faire un audit est un bon moyen de se saisir du sujet et prendre conscience de ses vulnérabilités.

Une prestation de ce type couvrant l’évaluation des processus organisationnels et la réalisation de tests techniques semble souvent hors budget pour les TPE, PME et ETI. Or, il existe des offres d’audit packagées plus abordables (15k€ en moyenne) et plus adaptées à leurs contextes pour obtenir un état des lieux des vulnérabilités principales pesant sur leurs systèmes d’information.

Ces offres flexibles s’adaptent aux besoins des petites structures en proposant des services sur mesure tels que des tests d’intrusion Web, l’audit de réseaux Wifi ou la réalisation de campagnes de phishing. Le moyen, comme pour les grandes entreprises, d’auditer l’intégralité de son système, de bénéficier de recommandations et d’un plan d’actions clef en main.

En mettant en œuvre plusieurs scénarios d’intrusion, l’expert cybersécurité simule « pour de vrai » les attaques sans naturellement affecter le système. Quoi de plus convaincant en matière de preuve d’intrusion pour un dirigeant que de se voir rapporter l’information d’un rachat ou d’une opération de délocalisation de son entreprise, qu’il croyait totalement confidentielle, captée par l’expert en quelques heures parfois sans moyens sophistiqués ?

Un audit complet se réalise en 1 à 2 mois et est une démarche très structurante pour l’entreprise. Accessible financièrement, rapide et facile à mettre en œuvre, opéré avec souplesse, autonomie et pédagogie, il s’agit de se doter des moyens de grandes entreprises pour parer à la menace diffuse mais de plus en plus prégnante des cyberattaques. Aucune entreprise n’est à l’abri et ces menaces numériques aux conséquences ô combien réelles voir dramatiques pour les clients, les employés, les partenaires.

Contenu proposé par Micropole

Sujets associés