Quelle cybersécurité pour les microentreprises et les PME ?

Quelle cybersécurité pour les microentreprises et les PME ?

Sur un total de 3,8 millions d’entreprises en France, 146 000 sont des Petites et Moyennes Entreprises (PME) comptant de 10 à 249 salariés. Les microentreprises, nouvelle appellation des Très Petites Entreprises (TPE) depuis la loi de modernisation de l’économie, sont des entreprises comptant moins de 10 salariés. Jointes, les TPE/PME concentrent 6,2 millions de salariés en France (INSEE, 2020). Poumon vital de la croissance économique nationale, ces entités représentent la grande majorité des entreprises françaises, soit 99,9 % de l’ensemble.

En France, ces organismes ont souvent tendance à sous-estimer les risques liés à la cybercriminalité. Pourtant, d’après l’analyse menée par le cabinet de conseil Asterès, sur 385 000 cyberattaques réussies1 en France en 2022, 330 000 ciblaient les PME.

Qu’il s’agisse d’entreprises, de sous-traitants, de fournisseurs, ou de filiales de grands groupes, tous sont vulnérables et ont beaucoup à perdre, ce qui peut également avoir un impact sur l’économie globale d’un territoire. Si le risque cyber était un pays, il serait la 3e économie mondiale, avec un coût annuel de 6 000 milliards de dollars, soit 6 % du PIB mondial. Un nombre deux fois plus élevé qu’en 2015.

Plus qu’un coût, un enjeu de survie

Pourquoi les PME sont-elles une cible de choix pour les cyberattaquants ?

Depuis 2020, un changement significatif s’est opéré dans le paysage de la sécurité informatique : la surface d’exposition aux cybermenaces a considérablement augmenté. En cause, la généralisation du télétravail, qui s’est traduite par une augmentation de 667 % des attaques de phishing entre le 1er et le 23 mars 2020 ! Les microentreprises et les PME sont incitées à se numériser en même temps que les ambitions des attaques se diversifient : volontés lucratives, espionnage industriel ou stratégique, tentative de déstabilisation.

La digitalisation de l’espace économique semble inéluctable et, ironiquement, nous n’avons jamais été aussi vulnérables. Le déploiement de la fibre et de la 5G à grande échelle, l’utilisation du cloud et la diversité des groupes cybercriminels possédant de nouvelles sources financières et des compétences techniques considérables créent des interdépendances inédites entre les secteurs. Enfin, l’avènement de l’internet des objets (IoT), opportunité de plus en plus envisagée par les TPE/PME, offre à la fois un moyen de devenir plus compétitif et une surface d’exposition alternative face au risque cyber.

Tous les marchés deviennent potentiellement impactés par les cyberattaques, tant sur les produits de consommation courante que sur les chaînes de production.

Quel impact pour les PME ?

Le danger des cyberattaques était classé au premier rang des risques d’entreprise identifié par l’assureur Allianz dans son baromètre des risques annuels. Pourtant, il convient de noter que certains dirigeants d’entreprises ne sont pas nécessairement conscients de l’étendue des répercussions. Un sondage IFOP de décembre 2021 confirme que seulement 25 % des chefs d’entreprise pensent être exposés à un risque élevé, et seulement 3 % à un risque très élevé. Chaque incident cybernétique entraîne des perturbations plus ou moins significatives de l’activité qui peuvent persister pendant plusieurs semaines, voire plusieurs mois. D’après le rapport Hiscox 2021, le coût médian de l’ensemble des attaques était tout juste supérieur à 7 273 euros pour les microentreprises, et 50 000 euros pour les PME. Les ressources financières limitées pour investir dans la sécurité les rendent plus vulnérables aux attaques, car elles n’ont pas investi dans les moyens nécessaires pour les détecter et y répondre.

La perte de données, l’interruption des activités, l’érosion du chiffre d’affaires, l’augmentation des primes d’assurances ou encore les dommages à la réputation sont autant de conséquences catastrophiques pour ces petites entreprises. Si le nombre de TPE/PME ayant subi une cyberattaque en 2022 est en baisse – 43 % en 2022 contre 54 % en 2021 (Cesin) – il n’est pas suffisant lorsqu’on sait que 71 % d’entre elles déposent le bilan dans les trois ans qui suivent.

L’adage « mieux vaut prévenir que guérir » semble donc s’appliquer tout particulièrement à la cybersécurité.

publicité

Quel avenir pour les TPE-PME ?

Diffuser une culture de « l’hygiène numérique » tout en encourageant le développement de l’écosystème

L’enjeu est donc de diffuser une culture de la cybersécurité dans les entreprises. La lutte contre les menaces numériques n’a pas de solution universelle. Chaque entreprise doit se préparer en fonction de l’évaluation des risques qu’elle encourt. Cela exige que chacun maintienne une hygiène numérique rigoureuse et adopte en permanence des pratiques de sécurité informatique. D’autant plus que le mécanisme actuel incite les cyberattaquants à la récidive et renforce la fragilité des victimes.

On sait maintenant que le coût d’une cyberattaque peut atteindre des sommes bien supérieures à celle d’un bon système de défense. Accroître le budget consacré aux outils de sécurité ne constitue plus une solution suffisante face à la prolifération de menaces de plus en plus sophistiquées. Chaque employé détient une part essentielle de la responsabilité, car il représente la principale vulnérabilité potentielle.

Bien que le modèle de sécurité “Zero Trust” – basé sur le principe qu’aucun utilisateur ne peut être entièrement fiable sur un réseau – semble être mieux compris de nos jours, le facteur humain reste une des plus grandes vulnérabilités face à la menace cyber. Il est donc essentiel de former le personnel à la connaissance des menaces et à de bonnes pratiques quotidiennes.

Les politiques publiques se saisissent de l’enjeu de protection des TPE/PME

En novembre 2022, le Campus Cyber s’est vu attribuer par Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, la mission d’assurer la protection des TPE/PME. Cette approche novatrice était axée sur l’adaptabilité de la réglementation nationale favorisant leur croissance et leur prospérité.

Le projet se décline en trois grands axes, chacun ayant pour objectif de renforcer la cybersécurité des TPE/PME et de les aider à se prémunir contre les menaces numériques de manière plus efficace. Chaque élément sera détaillé dans un rapport dont la publication est prévue pour la fin de l’année 2023 :

  • élaboration d’un référentiel sur l’évaluation du risque cyber, un catalogue de bonnes pratiques en cybersécurité à partager avec les PME ;
  • identification de dispositifs renforçant la résilience des systèmes d’information des PME ;
  • contribution à la structuration d’une offre compétitive de conseil et d’audit en cybersécurité.

De plus, le Campus Cyber, dans le cadre du European Digital Innovation Hub (EDIH), a également été désigné comme lieu d’implémentation du projet CYBIAH. Missionné par la Commission européenne afin d’accompagner les PME et collectivités, le but est de développer leur maturité digitale grâce au soutien des experts (publics et privés) présents sur le site. L’accompagnement dresse cinq étapes : évaluation de la maturité numérique, diagnostic cyber, plan de sécurisation technique, service d’accès aux financements et formation.

Enfin, l’accès au dispositif public cybermalveillance.gouv.fr, permettant d’apporter une assistance aux victimes et de sensibiliser le public aux enjeux de la sécurité et de la protection de la vie privée, a de son côté enregistré en 2020 une hausse de fréquentation de + 155 %.

Des solutions simples et concrètes

Que ce soit pour prévenir les risques de cyberattaques ou pour couvrir les retombées, de nombreuses solutions existent. Les éditeurs de logiciels travaillent assidûment afin de proposer des solutions adaptables à la taille et au budget de chaque entreprise.

Le NDR (Network Detection and Response), notamment, est une sonde logicielle ou matérielle déployée à différents points stratégiques permettant d’identifier avec certitude les actions malveillantes et les comportements suspects. Grâce à une cartographie de l’intégralité des ressources présentes sur le système d’information, elle offre une modélisation à 360° du niveau de risque cyber : clarté sur les menaces omniprésentes, réduction des faux positifs, prévention ou arrêt rapide des intrusions.

Face à l’importante évolution représentée entre autres par la Directive NIS 2 (Network and Information Security), les microentreprises et les PME sont confrontées à des défis inédits. Les éditeurs de logiciels, notamment, doivent anticiper ces changements et proposer des solutions compatibles avec ces normes, consolidant ainsi la cybersécurité de tous.


1. Les cyberattaques réussies sont définies comme une intrusion (par exemple phishing ou exploitation de faille), une attaque par rançongiciel ou une attaque par déni de service (DDoS), avérées dans le système d’information d’une organisation et ayant un impact opérationnel et/ou financier (Asterès).

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading